Citrix выпустила обновления безопасности для NetScaler ADC и NetScaler Gateway. Патчи закрывают шесть уязвимостей, среди них — новая атака HTTP/2 Bomb на отказ в обслуживании и серьёзная утечка данных из памяти, похожая на семейство CitrixBleed. Один баг может положить сервис, другой — вытащить куски памяти из устройства, через которое проходят аутентификация, удалённый доступ и корпоративный трафик.
NetScaler ADC — это контроллер доставки приложений: балансировка нагрузки, SSL-терминация, проксирование, защита и маршрутизация трафика. NetScaler Gateway часто работает как входная дверь для удалённого доступа, VPN и корпоративных приложений. Исследователи watchTowr подчёркивают: такие устройства стоят в крупных сетях именно на периметре и обрабатывают критичные сценарии: вход пользователей, SAML, сессии, прокси и доступ к внутренним системам.
В свежем бюллетене фигурируют CVE-2026-8451, CVE-2026-8452, CVE-2026-8655 и CVE-2026-10816. Эти проблемы получили высокий уровень опасности и связаны с чтением за пределами памяти, переполнением памяти и произвольным чтением файлов. Ещё одна уязвимость с тем же номером CVE-2026-10816 описана как ошибка среднего уровня с чтением за пределами памяти. Отдельно добавлена HTTP/2 Bomb, для которой Citrix присвоила собственный идентификатор CVE-2026-13474.
После публикации технических деталей и генератора detection artefact от watchTowr злоумышленники быстро начали эксплуатировать уязвимость CVE-2026-8451 на внешних NetScaler. Lupovis зафиксировала активность на своих сенсорах: первые сканы пришли с инфраструктуры во Франкфурте, несколько сенсоров попали под проверку в течение пяти часов, а при ответе 200 OK атакующий сразу отправлял payload.
WatchTowr называет CVE-2026-8451 новым представителем семейства CitrixBleed. Термин уже используют для целого класса проблем с раскрытием памяти в NetScaler. В прошлые годы похожие ошибки приводили к утечкам чувствительных данных, сессий и другим инцидентам на реальных устройствах.
CVE-2026-8451 связана с недостаточной проверкой входных данных и чтением памяти за пределами допустимой области. В переводе на человеческий: парсер получает данные, ошибается при разборе и может вернуть атакующему фрагменты памяти, которые вообще не должны попадать в HTTP-ответ. Оценка уязвимости — CVSS 8.8. Для успешной эксплуатации устройство должно быть настроено как SAML Identity Provider, то есть как поставщик идентификации для входа через SAML.
Атака проходит через SAML /saml/login. Клиент при входе отправляет base64-закодированный XML-документ AuthnRequest. Внутри лежат параметры запроса аутентификации: issuer, destination, timestamps и другие атрибуты. WatchTowr проверила именно XML-парсер NetScaler и нашла участок, где обработка атрибутов может выйти за границы ожидаемого значения.
CVE-2026-8451 также может стать частью более тяжёлой цепочки. WatchTowr отмечает, что утечка памяти может раскрыть указатель данных. Такой фрагмент сам по себе не всегда даёт полный компромисс, но в связке с ошибкой повреждения памяти он помогает атакующему пройти дальше и потенциально получить контроль над устройством.
Исправления доступны в NetScaler ADC и NetScaler Gateway 14.1-72.61 и 13.1-63.18. Для FIPS-ветки нужна версия 14.1-72.61 FIPS, для FIPS и NDcPP на ветке 13.1 — версия 13.1-37.272. Более старые сборки до этих релизов считаются уязвимыми, если в конкретном развёртывании включены затронутые функции.
HTTP/2 Bomb — это цепочка уже известных приёмов. Атака сочетает компрессионную бомбу для HPACK, механизма сжатия заголовков HTTP/2, и удержание соединения в стиле Slowloris. Сервер получает маленькие на вид сообщения, но при обработке они заставляют его расходовать память и не дают быстро освободить ресурсы. В итоге веб-сервер или пограничное устройство может стать недоступным.
Саму технику HTTP/2 Bomb ранее описала компания Calif. Исследователи писали, что связка может затрагивать сотни тысяч сайтов с HTTP/2 и стандартными конфигурациями NGINX, Apache HTTPD, Microsoft IIS, Envoy или Cloudflare Pingora. В демонстрации атака могла запускаться с домашнего компьютера на канале 100 Мбит/с и выводить сервер из строя за секунды. Комбинацию старых техник нашли с помощью OpenAI Codex: модель прочитала кодовые базы и собрала цепочку, которую люди до этого не смогли.
В 2025 году CitrixBleed 2, CVE-2025-5777, активно использовалась в атаках: SecurityWeek ранее писал минимум о 100 взломанных организациях и тысячах уязвимых экземпляров, оставшихся в интернете после выхода патча. Та уязвимость была связана с недостаточной проверкой входных данных и чтением памяти за пределами допустимой области.
В марте 2026 года европейская CERT-служба предупреждала о других уязвимостях NetScaler ADC и Gateway, которые могли приводить к раскрытию чувствительной информации и путанице пользовательских сессий при определённых конфигурациях.
Администраторам стоит начать с инвентаризации. Нужно проверить все NetScaler ADC, NetScaler Gateway и Citrix Secure Private Access Hybrid-развёртывания, где используются NetScaler-инстансы. Далее — обновить поддерживаемые ветки до 14.1-72.61, 13.1-63.18, 14.1-72.61 FIPS или 13.1-37.272 для FIPS/NDcPP. Старые и снятые с поддержки ветки лучше не держать на периметре вообще: сканеры и эксплуатационные цепочки обычно не ждут удобного окна обслуживания.
Стоит проверить, включён ли SAML IdP, посмотреть журналы /saml/login, необычные ошибки XML-разбора, неожиданные HTTP-ответы, всплески 4xx/5xx, длинные или странные HTTP/2-сессии, рост памяти и соединения, которые долго не закрываются.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.