Хакеры начали использовать уязвимость в ПАК для банков, которая может привести к полному захвату устройств
Злоумышленники начали эксплуатировать критическую уязвимость в ПАК Citrix NetScaler, которое используется в российских банках. Атаки зафиксированы сразу после выявления уязвимости. Ошибка в ПАК позволяет извлекать из памяти устройств чувствительные данные, включая идентификаторы административных сессий, что создает риск полного контроля над системой.
В программно-аппаратном сетевом контроллере, предназначенным для оптимизации трафика, Citrix NetScaler выявлена уязвимость, получившая код CVE-2026-3055. Речь идет о критической ошибке чтения за пределами буфера (out-of-bounds read), которая позволяет удаленному злоумышленнику, имея аутентификации, извлекать данные из памяти устройств, включая сессионные идентификаторы администраторов. По данным исследователей из WatchTower, эту уязвимость уже используют в атаках.
Решения NetScaler применяются для балансировки нагрузки, организации удаленного доступа и защиты приложений в корпоративной инфраструктуре. Такие системы внедрялись и в России: продукт Citrix NetScaler использовался, в частности, в банковском секторе для обеспечения отказоустойчивого и безопасного доступа к web-приложениям, включая балансировку нагрузки, SSL-ускорение и механизмы высокой доступности. Так, например, Softline сообщал о поставке и внедрении Citrix NetScaler в западно-уральский банк «Сбербанк России».
Комплекс Citrix NetScaler довольно активно используется в России, но преобладающая часть закупок относится к периоду до 2022 года. По данным «Контур. Закупки», конкурсы по выбору партнера на оказание услуг техподдержки ПАК размещало «Альфострахование» в 2025 году, в 2021 году Мосбиржа искала поставщика сертификатов на техподдержку NetScaler.
Уязвимость была раскрыта 23 марта и получила оценку 9,3 по шкале CVSS. Она затрагивает устройства NetScaler ADC и NetScaler Gateway, настроенные как SAML Identity Provider, и касается прежде всего локально развернутых (on-premise) инсталляций — это следует из описания проблемы.
Практически сразу после публикации информации специалисты зафиксировали разведывательную активность в отношении уязвимых систем, а уже с 27 марта началась эксплуатация — это подтверждают наблюдения исследователей.
Технически атака строится на отправке специально сформированных запросов к механизмам аутентификации SAML. При некорректной обработке таких запросов устройство возвращает фрагменты своей памяти, в которых могут содержаться чувствительные данные, включая токены сессий. Повторяя запросы, злоумышленник может получать разные части памяти и постепенно извлекать учетные данные — механизм эксплуатации описан.
Получение идентификатора административной сессии фактически означает возможность работать с устройством от имени администратора, что открывает путь к полной компрометации NetScaler. По оценкам исследователей, уязвимость по механике напоминает ранее активно эксплуатировавшиеся ошибки CitrixBleed и CitrixBleed2, что повышает риск массового использования.
По данным мониторинга, в интернете доступны десятки тысяч экземпляров NetScaler и Gateway, однако доля уязвимых систем неизвестна. Это увеличивает потенциальную поверхность атаки и усложняет оценку масштаба риска.
Вендор выпустил обновления и предложил временные меры защиты, включая механизм Global Deny List, позволяющий снизить риск без перезагрузки устройств. Тем не менее специалисты рекомендуют как можно быстрее установить исправления, поскольку эксплуатация уже началась и техники атаки фактически раскрыты.
Читайте также
