Critical Citrix NetScaler memory flaw actively exploited in attacks

Exploitation active de vulnérabilités critiques dans Citrix NetScaler

Des attaquants exploitent activement une faille critique de lecture mémoire dans les appliances Citrix NetScaler ADC et Gateway pour dérober des données sensibles, notamment des identifiants de session administrative. Cette campagne d’exploitation, détectée dès le 27 mars, permet une compromission potentielle totale des systèmes visés.

Points clés :

• Nature de la faille : Il s’agit en réalité de deux vulnérabilités de lecture mémoire (memory overread) distinctes touchant les points de terminaison d’authentification SAML (/saml/login) et WS-Federation (/wsfed/passive).
• Contexte : La menace concerne uniquement les appliances configurées en tant que fournisseur d’identité (IdP) SAML sur site.
• Risque : Une exploitation réussie permet le vol de jetons de session, rappelant les incidents précédents de type “CitrixBleed”.

Vulnérabilités :

• CVE-2026-3055 : Vulnérabilité critique de lecture mémoire (score de sévérité élevé).
• CVE-2026-4368 : Faille de type “race condition” (sévérité haute) publiée simultanément.

Recommandations :

• Mise à jour immédiate : Appliquer les correctifs fournis par Citrix. Les versions vulnérables sont celles antérieures à 14.1-60.58, 13.1-62.23 et 13.1-37.262.
• Audit : Vérifier les configurations des appliances déployées sur site, particulièrement celles utilisant la fonction SAML IdP.
• Détection : Utiliser des outils d’analyse (scripts de détection disponibles via des chercheurs en sécurité) pour identifier les instances exposées et non corrigées au sein du réseau.

Source