Очередная опасная брешь обнаружена в продуктах Citrix. В конце марта 2026 года компания Citrix Systems Inc. подтвердила существование критической уязвимости в своих решениях для контроля доступа. Речь идёт о контроллерах доставки приложений NetScaler ADC и системах контроля доступа к виртуальной среде NetScaler Gateway. Уязвимость получила идентификатор CVE-2026-8451 и занесена в Банк данных угроз безопасности информации (BDU) под номером BDU:2026-08971. Проблема кроется в механизме аутентификации SAML IDP (провайдера идентификации, использующего язык разметки для утверждений безопасности). Эксплуатируя эту уязвимость, злоумышленник может удалённо вызвать отказ в обслуживании.
Детали уязвимости
Давайте разберёмся, чем это грозит бизнесу. Продукты NetScaler ADC и NetScaler Gateway широко используются крупными компаниями и государственными учреждениями. Они выступают в роли шлюзов для удалённого доступа сотрудников к корпоративным ресурсам. Поэтому атака на эти устройства способна парализовать работу целой организации. В худшем случае злоумышленник может не только "положить" сервер, но и получить несанкционированный доступ к данным.
Причина уязвимости - чтение за границами буфера в памяти. Это классическая ошибка кода, относящаяся к типу CWE-125. Суть проблемы проста: когда один из компонентов системы обрабатывает входящий SAML-запрос, он может прочитать область памяти, находящуюся за пределами выделенного буфера. В результате сервер может аварийно завершить работу.
Однако на этом последствия не заканчиваются. Специалисты по кибербезопасности обращают внимание на вектор уязвимости. Согласно оценке по системе CVSS, базовый вектор CVSS 3.1 составляет 9,4 балла из 10. Это критический уровень. Атака не требует наличия учётной записи на устройстве и выполняется удалённо. Злоумышленнику не нужен доступ к внутренней сети - достаточно, чтобы уязвимое устройство было доступно через интернет. Что особенно тревожно, так это комбинация показателей: высокая степень воздействия на конфиденциальность и доступность. Это значит, что эксплуатация может повлечь как утечку данных, так и полный отказ в обслуживании. Хотя целостность данных затронута лишь частично, этой комбинации достаточно для серьёзных последствий.
Уязвимость затрагивает широкий спектр версий. В зоне риска находятся NetScaler ADC и NetScaler Gateway до версии 14.1-72.61, а также до версии 13.1-63.18. Кроме того, под угрозой оказались устройства NetScaler ADC FIPS (модели с усиленной аппаратной защитой). Для них критичны версии до 14.1-72.61 и до 13.1.37.272.
Важный нюанс: для успешной атаки необходимо, чтобы в конфигурации устройства присутствовала строка, активирующая SAML IDP. Это значит, что не все установки уязвимы - только те, где явно настроен провайдер идентификации на основе SAML. Тем не менее, такая конфигурация типична для сред, где используется единая аутентификация (SSO).
Ситуация усугубляется тем, что по данным Банка данных угроз, эксплойт для CVE-2026-8451 уже существует в открытом доступе. Команда исследователей из WatchTowr опубликовала технический анализ, который может быть использован для создания собственных атак. Метод эксплуатации классифицируется как манипулирование структурами данных.
Вендор уже выпустил обновления, устраняющие проблему. Рекомендуется в первую очередь обновить прошивку до следующих версий: для линейки 14.1 - до версии 14.1-72.61 и выше, для линейки 13.1 - до версии 13.1-63.18 и выше, для моделей FIPS - до версии 13.1.37.272 и выше. Однако обновление - лишь часть защитных мер. Пока патч не установлен, следует применить компенсирующие меры. Прежде всего нужно проверить конфигурацию на наличие строки "add authentication samlIdPProfile", которая указывает на использование уязвимого механизма. Если функция SAML IDP не используется, её следует отключить.
Кроме того, настоятельно рекомендуется ограничить доступ к панели управления NetScaler из внешних сетей. Лучше всего настроить межсетевые экраны так, чтобы доступ к уязвимому интерфейсу был возможен только из внутренней сети или через VPN-соединение. Сегментирование сети поможет минимизировать ущерб в случае успешной атаки.
Очередная уязвимость в продуктах Citrix напоминает о важности своевременного обновления безопасности. Механизмы аутентификации корпоративных шлюзов становятся приоритетной целью для злоумышленников. Компаниям, использующим NetScaler ADC и NetScaler Gateway, нужно действовать без промедления.
В условиях, когда атака может быть выполнена удалённо, без аутентификации, и уже существует рабочий эксплойт, счёт идёт на дни. Рекомендуется в ближайшее время обновить ПО или, если это невозможно, строго ограничить доступ из интернета к уязвимым устройствам. История показывает, что пренебрежение такими предупреждениями обходится дорого.
Ссылки
- https://bdu.fstec.ru/vul/2026-08971
- https://www.cve.org/CVERecord?id=CVE-2026-8451
- https://labs.watchtowr.com/citrixbleed-to-infinity-and-beyond-citrix-netscaler-pre-auth-memory-overread-cve-2026-8451/
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696604