Citrix NetScaler tiếp tục bị đưa vào tầm ngắm vì lỗ hổng Memory Overread nghiêm trọng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.747 bài viết
Citrix NetScaler tiếp tục bị đưa vào tầm ngắm vì lỗ hổng Memory Overread nghiêm trọng
WhiteHat Team
Citrix NetScaler ADC và Gateway một lần nữa rơi vào “tầm ngắm” của tin tặc với lỗ hổng Memory Overread cực kỳ nghiêm trọng, có mã định danh CVE-2026-3055. Ngay sau khi lỗ hổng được công bố, các hệ thống honeypot trên toàn cầu đã ghi nhận hàng loạt hoạt động trinh sát và dò quét phương thức xác thực. Hoạt động này nhằm xác định những thiết bị đang cấu hình SAML Identity Provider (SAML IDP) và chuẩn bị cho chiến dịch khai thác thực tế trên diện rộng.
Citrix 1.png

Giới phân tích an ninh mạng đánh giá lỗ hổng này với điểm CVSS 9.3, phản ánh mức độ cực kỳ nghiêm trọng của CVE-2026-3055. Nguyên nhân là do xác thực dữ liệu đầu vào chưa đầy đủ, dẫn đến tình trạng Memory Overread và tạo điều kiện cho kẻ tấn công từ xa trích xuất trái phép các thông tin nhạy cảm đang lưu trữ tạm thời trên thiết bị.

Theo ghi nhận của Defused Cyber, các kẻ tấn công đang truy cập endpoint /cgi/GetAuthMethods trên NetScaler để liệt kê các luồng xác thực đang bật trong honeypot Citrix. Hoạt động này cho phép chúng xác định những hệ thống nào được cấu hình SAML IDP, chuẩn bị cho bước khai thác thực tế.

Tương tự, watchTowr cũng phát hiện hoạt động dò quét tích cực trên các instance NetScaler trong mạng honeypot của họ. Điều này cho thấy khả năng khai thác ngoài đời thực có thể xảy ra bất cứ lúc nào nếu các hệ thống không được cập nhật và vá kịp thời.

Các phiên bản bị ảnh hưởng bởi CVE-2026-3055 gồm:​
  • NetScaler ADC và NetScaler Gateway 14.1 trước 14.1-66.59,​
  • NetScaler ADC và NetScaler Gateway 13.1 trước 13.1-62.23,​
  • NetScaler ADC 13.1-FIPS và 13.1-NDcPP trước 13.1-37.262.​
Thực tế lịch sử cho thấy Citrix NetScaler luôn là mục tiêu ưa thích của các chiến dịch tấn công có chủ đích APT, tiêu biểu như chuỗi lỗ hổng Citrix Bleed (2023), Citrix Bleed 2, CVE-2025-6543 hay CVE-2025-7775. Với lỗ hổng lần này, các chuyên gia cảnh báo rằng khi hoạt động trinh sát chuyển sang khai thác thực tế, thời gian để các quản trị viên phản ứng sẽ gần như bằng không.

Để đảm bảo an toàn, ngoài việc nâng cấp lên các phiên bản 14.1-66.59 hoặc 13.1-62.23 trở lên, các quản trị viên cần rà soát lại nhật ký hệ thống để phát hiện sớm các hành vi trinh sát nhắm vào cấu hình xác thực. Việc chậm trễ trong công tác vá lỗi ở thời điểm hiện tại sẽ đặt hệ thống trước nguy cơ bị chiếm quyền điều khiển hoặc rò rỉ dữ liệu nhạy cảm bất cứ lúc nào.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp
  • Tin tặc khai thác lỗ hổng CVE-2025-6543 trong Citrix NetScaler, đe dọa hạ tầng trọng yếu
  • Hơn 3.000 thiết bị Citrix NetScaler đối diện nguy cơ bị chiếm quyền từ CitrixBleed 2
  • CitrixBleed 2 - Lỗ hổng đe dọa hàng chục nghìn thiết bị NetScaler (đã có PoC)
  • Lỗ hổng zero-day mới trong Citrix ADC và Gateway đang bị khai thác
  • Các lỗ hổng nghiêm trọng trong nhiều máy chủ Citrix vẫn chưa được vá
    • Thẻ
    citrix netscaler cve-2026-3055 netscaler adc
    Bên trên