Более 200 инсталляций Citrix NetScaler в России могут быть уязвимы

Более 200 инсталляций Citrix NetScaler в России могут быть уязвимы

В решениях для доставки приложений и защищенного удаленного доступа Citrix NetScaler ADC и NetScaler Gateway обнаружена уязвимость CVE‑2026‑8451
3 июля 2026 г.

Она затрагивает только инсталляции, где устройство настроено как SAML Identity Provider (IdP). Уязвимость получила оценку 7,5 балла по шкале CVSS.

CVE‑2026‑8451 относится к классу pre‑auth memory overread и позволяет до прохождения аутентификации получить из памяти процесса фрагменты чувствительных данных с помощью специально сформированного запроса.

Как эксплуатируют уязвимость
  • Уязвимость эксплуатируют удаленно и без аутентификации.
  • Опубликованы технические детали эксплуатации.
  • На момент публикации нет подтвержденной информации об эксплуатации уязвимости в реальных атаках.

Уязвимы версии:

  • NetScaler ADC и NetScaler Gateway версий 14.1 до 14.1–72.61;
  • NetScaler ADC и NetScaler Gateway версий 13.1 до 13.1–63.18;
  • NetScaler ADC FIPS до версии 14.1–72.61 FIPS;
  • NetScaler ADC FIPS и NDcPP до версии 13.1–37.272.
Как защититься
  • Базовая рекомендация вендора: немедленно перейти на новые версии ПО.
  • Практические правила для SIEM/IDS на основе публичной информации можно строить вокруг аномалий на /saml/login:
    • всплески POST‑запросов с параметром SAMLRequest;
    • необычно короткие или поврежденные Base64‑/XML‑пакеты;
    • аномальное количество 400‑/500‑ответов;
    • резкие рестарты или падения nsppe;
    • сам факт наличия профиля SAML IdP в конфигурации.
По данным BI.ZONE EASM, в российском сегменте интернета доступно более 200 Citrix‑инстансов, и более половины из них относятся к инфраструктуре крупных компаний. Потенциальная эксплуатация даже одной такой системы может привести к существенному ущербу для бизнеса, включая простой критичных сервисов, компрометацию удаленного доступа и риски для внутренних систем.
Рекомендуем как можно скорее установить обновления безопасности, выпущенные вендором, а также проверить, используется ли на устройствах режим SAML Identity Provider.
Павел Загуменнов
Руководитель направления EASM

Для оценки потенциального риска на платформе BI.ZONE EASM уже добавлены правила обнаружения CVE‑2026‑8451. Решение позволяет выявить доступные из интернета серверы Citrix, определить уязвимые инсталляции и обнаружить неучтенные системы, которые могут представлять риск для организации. Кроме того, команда BI.ZONE WAF уже выпустила правила защиты, позволяющие предотвращать попытки эксплуатации новой уязвимости.

Как защититься