La vulnerabilidad de lectura de memoria permite robar session IDs de administrador sin autenticación. WatchTowr detectó explotación activa menos de una semana tras la publicación del parche.
Citrix publicó el lunes pasado actualizaciones de seguridad críticas para NetScaler ADC y NetScaler Gateway que corrigen dos vulnerabilidades de alta severidad, incluyendo CVE-2026-3055, un fallo de lectura fuera de límites con puntuación CVSS 9.3 que permite a atacantes remotos no autenticados leer memoria sensible de los appliances.
Menos de una semana después, la firma de ciberseguridad WatchTowr confirmó que la explotación activa ya comenzó en internet, con atacantes robando session IDs de administrador para obtener acceso total a dispositivos comprometidos.
La vulnerabilidad CVE-2026-3055 afecta específicamente a appliances NetScaler configurados como SAML Identity Provider (SAML IdP), una configuración común en entornos empresariales que implementan single sign-on (SSO) para servicios cloud. Según el boletín de seguridad de Citrix, las versiones afectadas incluyen NetScaler ADC y Gateway anteriores a 14.1-60.58 y 13.1-62.23, así como ADC FIPS y NDcPP anteriores a 13.1-37.262. El mecanismo de explotación requiere enviar peticiones HTTP craftedas con un parámetro específico presente pero sin valor, lo que provoca que el appliance acceda a memoria "muerta" y filtre información sensible de forma dinámica.
WatchTowr demostró que el fallo puede explotarse para extraer IDs de sesión de administradores autenticados, permitiendo a un atacante hacerse con el control completo del appliance sin necesidad de credenciales. "Ahora somos los administradores del NetScaler objetivo", declaró la firma en su reporte, enfatizando la gravedad del hallazgo.
Los investigadores detectaron actividad de reconocimiento activo desde el 27 de marzo, con atacantes utilizando el endpoint /cgi/GetAuthMethods para identificar appliances vulnerables antes de lanzar el exploit. Esta táctica de fingerprinting permite a los actores de amenazas construir listas precisas de objetivos susceptibles.
La comunidad de seguridad ha comparado CVE-2026-3055 con CitrixBleed y CitrixBleed2, vulnerabilidades de la misma clase que fueron masivamente explotadas en 2023 y 2025. Citrix identificó el fallo internamente durante sus revisiones de seguridad rutinarias y no hay evidencia de explotación previa al parche, pero la rapidez con la que comenzaron los ataques post-divulgación refleja el interés activo de los actores de amenazas en esta infraestructura perimetral.
Un segundo fallo, CVE-2026-4368, también fue corregido: se trata de una condición de carrera que puede causar mezcla de sesiones de usuario en appliances configurados como Gateway o servidor virtual AAA.
Paralelamente, F5 publicó un advisory de seguridad relacionado con vulnerabilidades en BIG-IP que fueron actualizadas de severidad media a crítica tras confirmarse explotación activa, incluyendo una falla de RCE que afecta múltiples versiones del producto. Las organizaciones que operan infraestructura de aplicación delivery y balanceo de carga deben revisar ambos boletines simultáneamente.
Las versiones parchadas por Citrix son 14.1-66.59, 13.1-62.23 y 13.1-NDcPP 13.1.37.262. Los administradores pueden verificar si sus appliances son vulnerables buscando la cadena add authentication samlIdPProfile en la configuración. Tras aplicar el parche, es obligatorio terminar todas las sesiones activas y persistentes, ya que los tokens robados antes de la actualización siguen siendo válidos.
Los servicios cloud gestionados por Citrix ya fueron actualizados automáticamente, los clientes on-premises deben aplicar los fixes de forma inmediata. El SLA recomendado para entornos expuestos a internet es parchear en las próximas 24 horas.
FUENTE ORIGINAL
Citrix↗CURADO POR
Santiago Torres