Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Взлом в пару кликов. Специалисты нашли способ воровать пароли Citrix напрямую из памяти

Citrix Citrix NetScaler уязвимость watchTowr Labs
Взлом в пару кликов. Специалисты нашли способ воровать пароли Citrix напрямую из памяти
Citrix Citrix NetScaler уязвимость watchTowr Labs

Около 30000 сетевых устройств попали под угрозу атак.

image

Уязвимость в сетевых устройствах Citrix, о которой ещё недавно говорили как о потенциальной угрозе, уже активно используется хакерами. Атаки начались почти сразу после публикации обновления безопасности и позволяют перехватывать ключевые данные для входа в систему.

Речь идёт о критической уязвимости CVE-2026-3055 в Citrix NetScaler ADC и Citrix NetScaler Gateway. С её помощью злоумышленники получают доступ к чувствительной информации, включая идентификаторы сессий администраторов. Такие данные открывают путь к полному захвату устройства.

Citrix сообщил о проблеме 23 марта вместе с ещё одной ошибкой высокого уровня опасности. Уязвимость затрагивает версии до 14.1-60.58, до 13.1-62.23 и до 13.1-37.262. При этом проблема проявляется только на устройствах, настроенных как поставщик удостоверений по протоколу SAML, и касается локальных установок.

Ситуация быстро привлекла внимание специалистов по информационной безопасности. По оценке watchTowr, уязвимость по механике напоминает атаки CitrixBleed и CitrixBleed2, которые активно использовали в 2023 и 2025 годах.

Компания watchTowr заметила подозрительную активность ещё до начала массовых атак. Уже 27 марта хакеры начали использовать уязвимость на практике. В сети приманок зафиксировали обращения с известных вредоносных адресов, что подтвердило начало эксплуатации.

Анализ показал, что CVE-2026-3055 на самом деле включает как минимум две ошибки чтения памяти. Одна связана с обработкой входа через SAML, другая – с механизмом пассивной аутентификации WS-Federation. Обе позволяют извлекать данные прямо из памяти устройства, включая активные сессии администраторов.

По словам специалистов, описание проблемы в официальном бюллетене оказалось неполным. Для помощи защитникам опубликовали скрипт на Python, который помогает найти уязвимые устройства внутри сети.

На данный момент Citrix не подтвердила факты эксплуатации в официальных материалах. Между тем, по данным The ShadowServer Foundation, в интернете доступны около 29 000 устройств NetScaler и ещё 2 250 шлюзов. Сколько из них уязвимы, пока неизвестно.