Citrix NetScaler sob alerta máximo: falhas críticas CVE-2026-3055 e CVE-2026-4368 exigem atualização imediata

Alerta crítico para ambientes Citrix NetScaler

Duas vulnerabilidades de segurança identificadas no Citrix NetScaler ADC e NetScaler Gateway estão exigindo atenção urgente de administradores de redes corporativas ao redor do mundo. As falhas, catalogadas como CVE-2026-3055 e CVE-2026-4368, foram divulgadas oficialmente pela Citrix por meio do advisory CTX696300 e corroboradas por organizações como CISA, CERT-EU, Qualys e Picus Security. Os patches estão disponíveis desde março de 2026, mas a janela de exposição permanece aberta para organizações que ainda não realizaram a atualização.

CVE-2026-3055: leitura de memória fora dos limites com CVSS 9.3

A primeira e mais grave das falhas, CVE-2026-3055, recebeu pontuação CVSS v4.0 de 9.3, classificando-a como crítica. A vulnerabilidade consiste em uma leitura de memória fora dos limites (out-of-bounds read) que pode ser explorada remotamente por um atacante não autenticado para extrair informações sensíveis da memória do dispositivo — incluindo tokens de sessão ativos. A condição de exploração requer que o appliance esteja configurado como Provedor de Identidade SAML (SAML IDP), uma configuração amplamente adotada em organizações que utilizam logon único (SSO) em ambientes federados. A gravidade da falha levou a CISA a incluí-la em sua lista de Vulnerabilidades Exploradas Conhecidas (KEV), com prazo de remediação federal estabelecido para 2 de abril de 2026. Pesquisadores da WatchTowr identificaram reconhecimento ativo direcionado a appliances vulneráveis, elevando ainda mais o nível de urgência para equipes de segurança.

CVE-2026-4368: condição de corrida expõe sessões de usuários

A segunda vulnerabilidade, CVE-2026-4368, foi classificada com CVSS 7.7 e envolve uma condição de corrida (race condition) que pode resultar na mistura de sessões entre diferentes usuários. Em ambientes de alto volume de acesso simultâneo, a falha pode expor a sessão de um usuário autenticado para outro, abrindo caminho para acesso não autorizado a recursos protegidos sem a necessidade de credenciais válidas. Essa falha afeta dispositivos configurados como Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) ou como servidor virtual AAA, e impacta especificamente a versão 14.1-66.54 do NetScaler ADC e Gateway.

Versões afetadas e caminho de remediação

As versões vulneráveis abrangem as linhas NetScaler ADC e Gateway 14.1 (anteriores à 14.1-66.59) e 13.1 (anteriores à 13.1-62.23), além das edições NetScaler ADC 13.1-FIPS e 13.1-NDcPP em versões anteriores à 13.1-37.262. A Citrix disponibilizou atualizações corretivas para todas essas linhas e orienta os administradores a migrar imediatamente para as versões 14.1-66.59, 13.1-62.23 ou posteriores. Para ambientes FIPS e NDcPP, a versão mínima segura é a 13.1.37.262. Além da atualização de firmware, as recomendações de segurança incluem a revogação de tokens e sessões ativas, a revisão de logs em busca de acessos suspeitos, e a habilitação de autenticação multifator onde ainda não estiver ativa. Ferramentas de detecção automatizada da Qualys identificam as exposições pelos IDs QID 386883, 531079 e 386882.

Contexto e impacto para organizações

O Citrix NetScaler ADC e o NetScaler Gateway são componentes críticos de infraestrutura em milhares de organizações globais, sendo utilizados para balanceamento de carga, acesso remoto seguro e gestão de identidade. O histórico de falhas exploradas em soluções Citrix — incluindo incidentes anteriores de ampla repercussão — reforça a necessidade de processos ágeis de resposta a patches nesse ecossistema. Equipes de segurança que ainda não aplicaram as atualizações de março de 2026 devem priorizar essa remediação imediatamente, especialmente aquelas que operam ambientes SAML IDP ou gateways VPN expostos à internet.

Fonte original: SempreUpdate — Falhas críticas no Citrix NetScaler (CVE-2026-3055 e CVE-2026-4368). Informações adicionais: Advisory oficial Citrix CTX696300 | Qualys ThreatPROTECT | Help Net Security.