Аппаратные устройства Citrix NetScaler в последние годы постоянно становились мишенью для злоумышленников, в том числе из-за уязвимости утечки информации, получившей название CitrixBleed 3, которая стала последней в серии переполнений памяти NetScaler, начиная с 2023 года. На этой неделе Citrix устранила еще одну уязвимость, аналогичную CitrixBleed, и уже имеются признаки ее эксплуатации в реальных условиях.
Новая уязвимость переполнения памяти, отслеживаемая как CVE-2026-8451, была обнаружена исследователями из компании по безопасности watchTowr, которые опубликовали подробный отчет, демонстрирующий, как неаутентифицированные некорректно сформированные запросы могут привести к утечке данных защищенной памяти процесса в ответах.
Исходные уязвимости CitrixBleed (CVE-2023-4966), CitrixBleed 2 (CVE-2025–5777) и CitrixBleed 3 (CVE-2026-3055) были оценены как критические, поскольку они могли использоваться для утечки токенов сеансов и других учетных данных, хранящихся в памяти. Новая CVE-2026-8451 может быть использована только для утечки значительно меньших объемов данных, которые, по-видимому, не включают идентификаторы сеансов. По этой причине Citrix присвоила ей оценку CVSS 8.8 (высокая степень опасности).
Для возможности эксплуатации устройство NetScaler должно быть настроено как SAML Identity Provider, но то же самое было справедливо и для CitrixBleed 3, которая была исправлена в марте и впоследствии эксплуатировалась в реальных условиях.
Таким образом, это требование не означает, что атаки маловероятны или что такая конфигурация является нетипичной. Фактически, менее чем через 24 часа после выпуска исправления Citrix компания по безопасности Lupovis сообщила о попытках эксплуатации, зафиксированных ее сенсорами-ловушками.
«Три отдельных сенсора подверглись атаке в течение пятичасового окна», — сообщила компания. «Злоумышленник получил ответ 200 на третьем сенсоре и немедленно доставил полезную нагрузку эксплойта».
Меньшая утечка, но все еще опасно
Несмотря на то, что watchTowr смогла извлечь с помощью этой уязвимости лишь байты данных, по сравнению с килобайтами при предыдущих проблемах CitrixBleed, раскрытая информация все еще может быть полезна злоумышленникам.
Хотя демонстрация концепции не выявила учетных данных или токенов, возможно, что повторяющиеся запросы в конечном итоге смогут привести к утечке чего-то конфиденциального. Как минимум, утечки могут раскрыть указатели памяти процессов, которые могут позволить злоумышленникам легче доставлять полезные нагрузки, используя уязвимости записи в память, такие как переполнение буфера.
Перезаписывая данные в области памяти, которая обычно содержит код, выполняемый процессом, злоумышленники могут обойти средства защиты от эксплуатации, такие как ASLR, чтобы получить полный контроль над устройством.
В рамках этого же цикла исправлений Citrix также устранила две уязвимости переполнения памяти высокой степени опасности, отслеживаемые как CVE-2026-8452 и CVE-2026-8655. Объединение эксплойтов для разных уязвимостей является распространенным подходом в современных атаках.
Компания также исправила уязвимость чтения произвольных файлов без аутентификации (CVE-2026-10816), еще одно переполнение памяти за пределами границ (CVE-2026-10817) и проблему отказа в обслуживании, эксплуатируемую через HTTP/2 запросы (CVE-2026-13474). Последняя на самом деле является специфичным для NetScaler вариантом уязвимости HTTP/2 Bomb (CVE-2026-49975), недавно устраненной в Apache Web Server.
Меры по смягчению последствий
Citrix рекомендует клиентам обновить свои устройства NetScaler ADC и NetScaler Gateway до версий 14.1-72.61, 14.1-72.61 FIPS, 13.1-63.18, 13.1-FIPS и 13.1-NDcPP 13.1.37.272. Уязвимость HTTP/2 Bomb также требует изменений в конфигурации в дополнение к исправлениям.
Эти изменения описаны в рекомендациях Citrix, наряду с методами определения того, соответствуют ли устройства предварительным условиям конфигурации для эксплуатации других уязвимостей. WatchTowr также опубликовала скрипт для обнаружения на Python для уязвимости CVE-2026-8451, который позволяет организациям быстро проверить, подвержены ли их устройства эксплойту.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin




