Уязвимость в Citrix NetScaler угрожает двум сотням серверов крупных российских компаний
© Сгенерировано ИИ
В решениях для доставки приложений и организации удаленного доступа Citrix NetScaler ADC и NetScaler Gateway обнаружена опасная уязвимость CVE-2026-8451, сообщает компания BI.ZONE. Проблема затрагивает устройства, на которых активирован режим поставщика удостоверений SAML (SAML Identity Provider), и получила оценку 7,5 балла по международной шкале CVSS.
Брешь относится к категории чтения памяти процесса до прохождения проверки подлинности (pre-auth memory overread). Используя специально сформированный сетевой запрос, удаленный злоумышленник может без авторизации извлечь из памяти фрагменты конфиденциальной информации. Хотя технические подробности метода эксплуатации уже опубликованы в открытом доступе, подтвержденных сведений о реальных атаках на момент выхода материала не зафиксировано.
Уязвимыми признаны следующие версии систем:
- NetScaler ADC и Gateway: ветка 14.1 (до сборки 14.1–72.61) и ветка 13.1 (до сборки 13.1–63.18);
- NetScaler ADC FIPS: до версии 14.1–72.61 FIPS и до версии 13.1–37.272 (включая NDcPP).
Масштаб проблемы в российском бизнесе
По данным инвентаризации платформы BI.ZONE EASM, в российском сегменте интернета сейчас доступно более 200 инстансов Citrix, причем свыше половины из них относятся к инфраструктуре крупных предприятий. Компрометация даже одного такого узла способна повлечь за собой остановку важных сервисов организации, взлом каналов удаленного доступа сотрудников и несанкционированное проникновение во внутренние ИТ-системы.
Рекомендации по защите и мониторингу
Главным способом защиты является немедленная установка актуальных обновлений безопасности, выпущенных вендором. ИБ-службам рекомендуется проверить конфигурации сетевых устройств на предмет использования режима SAML IdP.
Для выявления возможных попыток взлома в SIEM- и IDS-системах следует настроить правила мониторинга аномалий на веб-адресе /saml/login по следующим критериям:
- резкие всплески POST-запросов, содержащих параметр SAMLRequest;
- передача нетипично коротких или поврежденных Base64- и XML-пакетов;
- повышенная частота ответов сервера с кодами ошибок 400 и 500;
- внезапные падения или перезапуски системного процесса nsppe.
Разработчики BI.ZONE сообщили, что уже интегрировали правила детектирования CVE-2026-8451 в свой продукт класса EASM для поиска уязвимых внешних серверов, а также выпустили защитные сигнатуры для экранов атакующих веб-приложений (BI.ZONE WAF), блокирующие попытки эксплуатации бреши.
Читайте также: Скрытые ИТ-риски, о которых СЕО узнает слишком поздно
Благодарим за оставленный Вами отзыв! Мы стараемся становиться лучше!

