В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость в популярных сетевых продуктах компании Citrix. Уязвимость, получившая идентификатор BDU:2026-03524 (CVE-2026-3055), затрагивает контроллер доставки приложений Citrix ADC и систему контроля доступа NetScaler Gateway. Эксперты оценивают её максимально высокий уровень опасности, что требует немедленного внимания со стороны администраторов информационной безопасности.
Детали уязвимости
Суть проблемы заключается в ошибке типа «чтение за пределами буфера» (CWE-125). Эта уязвимость кода позволяет удалённому злоумышленнику прочитать данные за пределами выделенной области памяти. В частности, для эксплуатации данной уязвимости атакующий может отправить специально сформированный SAML-пакет. SAML (Security Assertion Markup Language) - это стандартный протокол, используемый для обмена данными аутентификации и авторизации. В результате успешной атаки злоумышленник может полностью обойти существующие механизмы безопасности, получив несанкционированный доступ к защищённым системам.
Уязвимость подтверждена производителем, Citrix Systems Inc., и ей уже присвоен идентификатор CVE-2026-3055. Под угрозой находятся несколько версий ключевых продуктов. Во-первых, это Citrix ADC версий от 13.1 до 13.1-62.23 и от 14.1 до 14.1-66.59. Во-вторых, аналогичные версии NetScaler Gateway. Кроме того, уязвимыми оказались специализированные сборки NetScaler ADC FIPS и NetScaler ADC NDcPP вплоть до версии 13.1-37.262. Все эти продукты широко используются в корпоративных сетях для балансировки нагрузки, безопасного удалённого доступа и виртуализации приложений.
Серьёзность угрозы подчёркивается высочайшими оценками по всем версиям системы CVSS. Базовая оценка CVSS 2.0 составляет максимальные 10.0 баллов. Оценка по CVSS 3.1 достигает 9.8 баллов, а по актуальной CVSS 4.0 - 9.3 балла. Все эти значения соответствуют критическому уровню опасности. Векторы атаки указывают на то, что для эксплуатации не требуются ни привилегии, ни взаимодействие с пользователем, а успешная атака приводит к полной компрометации конфиденциальности, целостности и доступности системы.
Основным способом устранения уязвимости является установка последних патчей. Citrix опубликовала официальный бюллетень безопасности с деталями и ссылками на исправленные сборки. Однако в рекомендациях BDU содержится важное предостережение. В связи с действующими санкциями пользователям в России рекомендуется устанавливать обновления только после тщательной оценки всех сопутствующих рисков. Это стандартная формулировка, напоминающая о необходимости проверки источников загружаемого программного обеспечения.
Если немедленное обновление невозможно, специалисты предлагают ряд компенсирующих мер. Эти меры направлены на снижение вероятности и потенциального ущерба от атаки. Во-первых, рекомендуется ограничить или временно отключить использование уязвимой реализации сервиса SAML IDP для идентификации пользователей. Во-вторых, необходимо применять межсетевые экраны для жёсткого ограничения удалённого доступа к интерфейсам управления уязвимых устройств. В-третьих, эффективной практикой является сегментация сети, изолирующая критическое оборудование от других сегментов. Наконец, крайне важно ограничить или полностью запретить доступ к панелям управления (dashboard) этих устройств из внешних сетей, включая интернет.
На текущий момент данные о наличии активных эксплойтов, использующих эту уязвимость, уточняются. Однако история показывает, что критические уязвимости в популярных продуктах для удалённого доступа, таких как Citrix, VMware или Pulse Secure, быстро привлекают внимание как исследователей, так и киберпреступных групп. В частности, уязвимости, позволяющие обойти аутентификацию, часто используются группами продвинутой постоянной угрозы (APT) для первоначального проникновения в корпоративные сети. В дальнейшем злоумышленники могут развернуть вредоносное ПО, включая программы-шифровальщики (ransomware), или установить скрытые механизмы сохранения доступа (persistence).
Таким образом, обнаруженная уязвимость представляет собой значительный риск для организаций, использующих продукты Citrix ADC и Gateway. Критический уровень опасности и простота эксплуатации делают её приоритетной для устранения. Администраторам безопасности необходимо в срочном порядке обратиться к официальному бюллетеню производителя, оценить возможность применения обновлений и реализовать компенсирующие меры контроля. Своевременное реагирование позволит предотвратить потенциальные инциденты, связанные с утечкой данных или полной остановкой бизнес-процессов.
Ссылки
- https://bdu.fstec.ru/vul/2026-03524
- https://www.cve.org/CVERecord?id=CVE-2026-3055
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300
