Компанията Citrix обяви спешни обновления за сигурност, засягащи мрежовите устройства NetScaler ADC и решенията за сигурен отдалечен достъп NetScaler Gateway. Най-сериозната уязвимост, проследявана като CVE-2026-3055, се дължи на недостатъчна проверка на входните данни, която може да доведе до memory overread при устройства, конфигурирани като SAML Identity Provider (IDP). Това позволява на отдалечени нападатели без права да извличат чувствителни данни, включително сесийни токени.

Вредоносният ефект на тази уязвимост е сходен с известните CitrixBleed и CitrixBleed2, които бяха експлоатирани в zero-day атаки през 2023 и 2025 г., включително в реални атаки срещу корпоративни и правителствени инфраструктури.

Допълнителна уязвимост за потребителски сесии

Освен CVE-2026-3055, Citrix е поправила и CVE-2026-4368, засягаща устройства, конфигурирани като Gateways (SSL VPN, ICA Proxy, CVPN, RDP Proxy) или AAA виртуални сървъри. Тази уязвимост може да позволи на атакуващи с ниски привилегии да експлоатират race condition и да причинят смесване на потребителски сесии.

Засегнати версии и актуализации

Проблемите засягат NetScaler ADC и Gateway версии 13.1 и 14.1, като са поправени в следните версии: 13.1-62.23, 14.1-66.59, а за NetScaler ADC 13.1-FIPS и 13.1-NDcPP – 13.1-37.262.

Според данни на Shadowserver, над 30 000 NetScaler ADC устройства и повече от 2 300 Gateway устройства са изложени онлайн. Все още не е ясно колко от тях са с уязвими конфигурации или вече са обновени.

Предупреждения от експерти по киберсигурност

След публикуването на обновленията множество компании и експерти подчертават, че е критично уязвимостта CVE-2026-3055 да бъде отстранена незабавно. Сходството с CitrixBleed и CitrixBleed2 прави очакването реалистично, че атакуващи ще се опитат да анализират пача и да създадат експлойти.

Rapid7 предупреждава, че експлоатации на CVE-2026-3055 са вероятни веднага след като код за експлоатация стане публичен, като напомня за широкото използване на memory leak уязвимости в реални атаки през последните години.

През август 2025 г. CISA вече е маркирала CitrixBleed2 като активно експлоатирана и е дала само един ден на федералните агенции за защита на системите си. Общо 21 Citrix уязвимости са определени като експлоатирани в реални атаки, седем от които са били използвани в ransomware кампании.

Препоръки за защита

Citrix силно препоръчва на клиентите да инсталират наличните обновления за NetScaler ADC и NetScaler Gateway веднага. Специалистите по киберсигурност също съветват:

• Проверка на наличните NetScaler инстанции и идентифициране на уязвими версии.
• Незабавно прилагане на официалните обновления.
• Мониторинг на логове и мрежов трафик за подозрителни сесийни активности.

Навременното обновяване остава най-ефективната мярка за защита срещу потенциални атаки, подобни на предишните CitrixBleed кампании.