Угрозы

Новый CitrixBleed начали эксплуатировать меньше чем за сутки

Маша Даровская
By Маша Даровская , IT-редактор и автор
Новый CitrixBleed начали эксплуатировать меньше чем за сутки
Обложка © Anonhaven

Атакующие начали эксплуатировать новую CitrixBleed-подобную уязвимость в NetScaler ADC и NetScaler Gateway меньше чем через 24 часа после публичного раскрытия. Речь о CVE-2026-8451 — ошибке чтения памяти до аутентификации, которая проявляется, если устройство настроено как SAML Identity Provider, то есть поставщик удостоверений для единого входа. SecurityWeek пишет, что первые попытки эксплуатации заметила шотландская компания Lupovis.

Citrix раскрыла проблему 30 июня 2026 года и выпустила исправления для NetScaler ADC и NetScaler Gateway. В тот же день watchTowr опубликовала технический разбор, где сравнила CVE-2026-8451 с классом CitrixBleed — уязвимостями, которые приводят к раскрытию содержимого памяти на пограничных устройствах Citrix/NetScaler.

Уязвимость получила оценку CVSS 8.8. NVD описывает её как недостаточную проверку входных данных в NetScaler ADC и NetScaler Gateway, которая приводит к чтению за пределами выделенной памяти при конфигурации SAML IdP. В практическом переводе: до входа в систему атакующий может отправить специально подготовленный SAML-запрос и получить фрагменты памяти устройства.

Сценарий эксплуатации идёт через POST /saml/login. Lupovis описывает полезную нагрузку как SAMLRequest, который после декодирования содержит <samlp:AuthnRequest> без нормальных атрибутов и большой хвост пробелов. При успешном срабатывании в ответе может появляться cookie NSC_TASS с непечатаемым бинарным содержимым — это один из признаков, что чтение памяти действительно произошло.

Атакующему достаточно доступного извне NetScaler с уязвимой версией и включённой ролью SAML IdP. Именно поэтому такие баги быстро попадают в приоритет: устройство стоит на периметре, принимает трафик из интернета и часто отвечает за вход в корпоративные сервисы.

Lupovis зафиксировала эксплуатацию по трём независимым сенсорам уже 1 июля. Первый заметный сканер шёл с IP 146.70.139.154, использовал python-requests/2.32.5 и отправлял повторяющиеся запросы на /saml/login. Компания подчёркивает: активность началась до появления CVE-2026-8451 в каталоге известных эксплуатируемых уязвимостей CISA, поэтому команды, которые ориентируются только на KEV, получили опасное слепое окно.

Затронутые версии указаны в бюллетене Citrix и карточке NVD. Для обычных сборок нужно обновиться до NetScaler ADC и NetScaler Gateway 14.1-72.61 или 13.1-63.18 и новее. Для FIPS и NDcPP-линеек указаны отдельные исправленные версии, включая 13.1-37.272 для 13.1-FIPS/NDcPP.

Важно не спутать CVE-2026-8451 с другой проблемой из того же бюллетеня. Citrix 30 июня закрыла сразу несколько уязвимостей: CVE-2026-8451, CVE-2026-8452, CVE-2026-8655, CVE-2026-10816, CVE-2026-10817 и CVE-2026-13474. Для CVE-2026-13474 одного обновления может быть недостаточно в некоторых конфигурациях: нужно настроить параметр Http2SmallWndTimeout, иначе защита будет неполной. Для CVE-2026-8451 основной шаг — обновление до исправленной версии, а при невозможности быстро обновиться Lupovis советует временно отключить SAML IdP-конфигурацию на устройстве.

Оригинальная CVE-2023-4966 стала одной из самых заметных уязвимостей NetScaler: её использовали для кражи сессионных токенов и входа в корпоративные сети. В 2025 году похожий класс снова обсуждали под названием CitrixBleed 2. Новая CVE-2026-8451 продолжает тот же неприятный паттерн: пограничное устройство, чтение памяти, минимум условий для атаки и очень короткое время от публикации до эксплуатации.

watchTowr отдельно выпустила артефакт для обнаружения CVE-2026-8451 и подробно описала механику ошибки. Исследователи обращают внимание, что CitrixBleed теперь стоит воспринимать как класс повторяющихся проблем раскрытия памяти в NetScaler. 

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.