O Cloud Software Group lançou correções de segurança urgentes para o NetScaler ADC (anteriormente Citrix ADC) e NetScaler Gateway (anteriormente Citrix Gateway), abordando duas vulnerabilidades significativas que poderiam permitir que atacantes remotos não autenticados comprometam os sistemas afetados. Organizações que executam implantações gerenciadas pelo cliente são fortemente aconselhadas a aplicar as atualizações imediatamente.
Descoberta e escopo da campanha
As vulnerabilidades foram identificadas e corrigidas pelo Cloud Software Group, que enfatizou a importância da aplicação rápida dos patches. A descoberta dessas falhas destaca a necessidade de monitoramento contínuo de segurança em dispositivos de rede críticos que atuam como gateways de aplicação e controladores de entrega.
O impacto potencial dessas vulnerabilidades é alto, pois o NetScaler é amplamente implantado em perímetros empresariais como VPN e controladores de entrega de aplicativos. Sistemas não corrigidos representam uma superfície de ataque significativa para atacantes que buscam acesso não autorizado a redes corporativas.
Vetor de ataque e exploração
A vulnerabilidade mais grave, CVE-2026-3055, carrega uma pontuação base CVSS v4.0 de 9.3, classificando-a como crítica. A vulnerabilidade decorre de validação insuficiente de entrada que leva a uma condição de leitura fora dos limites (CWE-125: Out-of-Bounds Read).
A falha não requer autenticação, interação do usuário ou condições especiais além de um requisito de configuração chave: o aparelho deve ser configurado como um Provedor de Identidade SAML (IDP). O Cloud Software Group divulgou que essa vulnerabilidade foi identificada internamente através de seu programa contínuo de revisão de segurança, sugerindo que nenhuma exploração ativa havia sido observada no momento da divulgação.
Ainda assim, a severidade crítica e o vetor de ataque sem privilégios o tornam um alvo de patch de alta prioridade. Os administradores podem verificar sua exposição verificando a configuração do NetScaler para a string add authentication samlIdPProfile .*.
Impacto e alcance
A segunda vulnerabilidade, CVE-2026-4368, pontua 7.7 (Alto) na escala CVSS v4.0 e envolve uma condição de corrida (CWE-362) que pode resultar em mistura de sessão de usuário. Esta falha afeta aparelhos configurados como Gateway (SSL VPN, ICA Proxy, CVPN ou RDP Proxy) ou como servidor virtual AAA.
Embora exija autenticação de baixo privilégio e uma condição de tempo adjacente (AT:P), a exploração bem-sucedida poderia resultar em comprometimento total da confidencialidade e integridade das sessões de usuário, um risco significativo em ambientes de VPN empresarial. Os administradores podem identificar a exposição verificando as configurações do NetScaler para add authentication vserver .* ou add vpn vserver .*.
Análise técnica detalhada
As versões afetadas incluem NetScaler ADC/Gateway 14.1 antes de 14.1-66.59; 13.1 antes de 13.1-62.23; FIPS/NDcPP antes de 13.1-37.262 para o CVE-2026-3055. Para o CVE-2026-4368, as versões afetadas são NetScaler ADC/Gateway 14.1-66.54.
O Cloud Software Group recomenda atualizar para as seguintes versões corrigidas: NetScaler ADC e Gateway 14.1-66.59 ou posterior, NetScaler ADC e Gateway 13.1-62.23 ou posterior, e NetScaler ADC 13.1-FIPS / NDcPP 13.1.37.262 ou posterior.
É importante notar que este aviso se aplica exclusivamente a implantações gerenciadas pelo cliente. Os serviços em nuvem gerenciados pela Citrix e instâncias de Autenticação Adaptativa já foram atualizados pelo Cloud Software Group.
Medidas de mitigação recomendadas
As equipes de segurança devem priorizar a implantação de patches, particularmente para aparelhos configurados como IDP SAML, dada a pontuação crítica do CVE-2026-3055. A verificação de configurações de SAML e a revisão de logs de acesso são essenciais para detectar tentativas de exploração.
A aplicação imediata dos patches é a medida mais eficaz para mitigar o risco. Além disso, a segmentação de rede e o monitoramento de tráfego podem ajudar a identificar atividades suspeitas relacionadas a essas vulnerabilidades.
Perguntas frequentes
Qual é o risco principal? O risco principal é o comprometimento remoto não autorizado e a mistura de sessões de usuário.
Como identificar a exposição? Verifique as configurações de SAML e Gateway para as strings indicadas.
Qual a recomendação imediata? Aplique os patches mais recentes imediatamente e revise as configurações de segurança.