CVE-2026-3055 позволява компрометиране на сесии и пълен контрол над устройства
Критична уязвимост в решенията Citrix NetScaler ADC и Citrix NetScaler Gateway вече се експлоатира активно от атакуващи, като позволява извличане на чувствителна информация и потенциално пълен контрол върху засегнатите системи.
Става въпрос за уязвимостта CVE-2026-3055, която първоначално беше разкрита от Citrix на 23 март, заедно с друга уязвимост с висока степен на риск – CVE-2026-4368.
Технически характеристики и засегнати системи
Уязвимостта засяга следните версии:
- NetScaler версии преди 14.1-60.58
- версии преди 13.1-62.23
- версии преди 13.1-37.262
Според първоначалната информация, проблемът засяга само среди, в които NetScaler е конфигуриран като SAML Identity Provider (IdP), което ограничава обхвата, но не и сериозността на риска.
Особено изложени са on-premise инсталациите, при които администраторите носят пълната отговорност за актуализациите и сигурността.
От разузнаване до реални атаки
Само дни след публикуването на уязвимостта, компанията watchTowr отчита активност по сканиране и разузнаване на уязвими системи.
Още на 27 март са засечени реални атаки, при които се експлоатира уязвимостта за извличане на:
- сесийни идентификатори на администратори
- данни от паметта на системата
- информация, позволяваща по-нататъшно проникване
Това означава, че атакуващите могат да поемат контрол върху активни административни сесии, без да се налага класическа автентикация.
Подобие с CitrixBleed атаките
Експертите отбелязват, че CVE-2026-3055 има сериозно сходство с предишни широко експлоатирани уязвимости като:
- CitrixBleed
- CitrixBleed2
И в двата случая атаките доведоха до мащабни компрометирания на корпоративни мрежи чрез изтичане на сесийни токени и идентификационни данни.
Дълбочина на проблема: повече от една уязвимост
Анализът на watchTowr показва, че CVE-2026-3055 всъщност включва поне два отделни memory overread дефекта:
- уязвимост в
/saml/login(SAML автентикация) - уязвимост в
/wsfed/passive(WS-Federation)
Тези дефекти позволяват извличане на чувствителна информация директно от паметта на устройството, включително активни сесии.
Масова експозиция и риск
Данни от Shadowserver Foundation показват значителен брой публично достъпни системи:
- около 29 000 NetScaler инстанции
- над 2 000 Gateway устройства
Не е ясно какъв процент от тях са уязвими, но наличието на толкова голяма експозиция увеличава риска от автоматизирани атаки.
Критика към първоначалното разкриване
Изследователите от watchTowr критикуват начина, по който е представена уязвимостта от Citrix, като определят първоначалното описание като непълно и подвеждащо.
Според тях, подценяването на риска в ранната фаза може да доведе до забавена реакция от страна на организациите – критичен фактор при вече активна експлоатация.
Препоръки към организациите
С оглед на потвърдената експлоатация, организациите трябва да предприемат незабавни мерки:
- да актуализират засегнатите системи до последните версии
- да проверят за подозрителни сесии и логове
- да анулират активни сесийни токени
- да ограничат достъпа до административните интерфейси
- да извършат пълен одит за евентуална компрометация
Допълнително, използването на инструменти за откриване на уязвими системи и мониторинг на трафика е силно препоръчително.
CVE-2026-3055 е пореден пример за високорискова уязвимост, която бързо преминава от теоретичен проблем към реална заплаха. Комбинацията от изтичане на памет, достъп до сесии и широка експозиция прави тази уязвимост изключително опасна.
Организациите, използващи NetScaler, трябва да реагират незабавно, тъй като забавянето може да доведе до пълен компромис на инфраструктурата.
