Citrix NetScaler bajo Active Recon para error de sobrelectura de memoria CVE-2026-3055 (CVSS 9.3) – CYBERDEFENSA.MX
admin Noticias, Trending
Citrix NetScaler bajo Active Recon para error de sobrelectura de memoria CVE-2026-3055 (CVSS 9.3) – CYBERDEFENSA.MX

Una falla de seguridad crítica recientemente revelada que afecta a Citrix NetScaler ADC y NetScaler Gateway está siendo testigo de una actividad de reconocimiento activa, según Cibernético desactivado y torre de vigilancia.

La vulnerabilidad, CVE-2026-3055 (Puntuación CVSS: 9,3), se refiere a un caso de validación de entrada insuficiente que provoca una sobrelectura de la memoria, que un atacante podría aprovechar para filtrar información potencialmente confidencial.

Según Citrix, la explotación exitosa de la falla depende de que el dispositivo esté configurado como proveedor de identidad SAML (SAML IDP).

«Ahora estamos observando la actividad de huellas dactilares del método de autenticación contra NetScaler ADC/Gateway en la naturaleza», dijo Defused Cyber ​​en una publicación en X. «Los atacantes están investigando /cgi/GetAuthMethods para enumerar los flujos de autenticación habilitados en nuestros honeypots Citrix».

Ciberseguridad

Es probable que esto sea un intento por parte de los actores de amenazas de determinar si NetScaler ADC y NetScaler Gateway están realmente configurados como un IDP de SAML.

En una advertencia similar, watchTowr dijo que ha detectado un reconocimiento activo contra instancias de NetScaler en su red honeypot, lo que plantea la posibilidad de que la explotación en estado salvaje pueda ocurrir en cualquier momento.

«Las organizaciones que ejecutan versiones afectadas de Citrix NetScaler en configuraciones afectadas deben eliminar las herramientas y aplicar parches de inmediato», dijo la compañía. «Cuando el reconocimiento de los atacantes pase a la explotación activa, la ventana para responder se evaporará».

La vulnerabilidad afecta a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262.

En los últimos años, una serie de vulnerabilidades de seguridad que afectan a NetScaler han sido objeto de explotación activa en la naturaleza. Estos incluyen CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 y CVE-2025-7775.

Por lo tanto, es crucial que los usuarios accedan rápidamente a las últimas actualizaciones lo antes posible para mantenerse protegidos, ya que no se trata de si, sino de cuándo.

Citrix insta a corregir un defecto crítico de NetScaler que permite fugas de datos no autenticados – CYBERDEFENSA.MX
admin Noticias, Trending
Citrix insta a corregir un defecto crítico de NetScaler que permite fugas de datos no autenticados – CYBERDEFENSA.MX

Citrix ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, incluida una falla crítica que podría explotarse para filtrar datos confidenciales de la aplicación.

Las vulnerabilidades se enumeran a continuación:

  • CVE-2026-3055 (Puntuación CVSS: 9,3) – Validación de entrada insuficiente que provoca una lectura excesiva de la memoria
  • CVE-2026-4368 (Puntuación CVSS: 7,7) – Condición de carrera que provoca una confusión en la sesión del usuario

Empresa de ciberseguridad Rapid7 dicho que CVE-2026-3055 se refiere a una lectura fuera de límites que podría ser explotada por atacantes remotos no autenticados para filtrar información potencialmente confidencial de la memoria del dispositivo.

Sin embargo, para que la explotación sea exitosa, el dispositivo Citrix ADC o Citrix Gateway debe estar configurado como proveedor de identidad SAML (SAML IDP), lo que significa que las configuraciones predeterminadas no se ven afectadas. Para determinar si el dispositivo se ha configurado como perfil IDP SAML, Citrix insta a los clientes a inspeccionar su configuración de NetScaler para ver la cadena especificada: «agregar autenticación samlIdPProfile .*».

Ciberseguridad

CVE-2026-4368, por otro lado, requiere que el dispositivo esté configurado como una puerta de enlace (es decir, SSL VPN, ICA Proxy, CVPN y RDP Proxy) o una autenticación, autorización y contabilidad (aaa) servidor. Los clientes pueden verificar la configuración de NetScaler para determinar si sus dispositivos se han configurado como cualquiera de los nodos:

  • Servidor virtual AAA: agregue autenticación vserver.*
  • Puerta de enlace: agregue vpn vserver.*

Las vulnerabilidades afectan a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para una protección óptima.

Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, las fallas de seguridad en los dispositivos NetScaler han sido explotadas repetidamente por actores de amenazas (CVE-2023-4966, también conocido como Citrix Bleed, CVE-2025-5777, también conocido como Citrix Bleed 2, CVE-2025-6543 y CVE-2025-7775), lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias.

«CVE-2026-3055 permite a atacantes no autenticados filtrar y leer memoria sensible de implementaciones de NetScaler ADC. Si suena familiar, es porque lo es: esta vulnerabilidad suena sospechosamente similar a Citrix Bleed y Citrix Bleed 2, que continúan representando un evento traumático para muchos», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.

«Los NetScalers son soluciones críticas que han sido objeto continuamente de acceso inicial a entornos empresariales. Si bien el aviso acaba de publicarse, los defensores deben actuar rápidamente. Cualquiera que ejecute versiones afectadas debe aplicar parches urgentemente. Es muy probable que se produzca una explotación inminente».

FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More – CYBERDEFENSA.MX
admin Noticias, Trending
FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More – CYBERDEFENSA.MX

ThreatsDay Bulletin is back on The Hacker News, and this week feels off in a familiar way. Nothing loud, nothing breaking everything at once. Just a lot of small things that shouldn’t work anymore but still do.

Some of it looks simple, almost sloppy, until you see how well it lands. Other bits feel a little too practical, like they’re already closer to real-world use than anyone wants to admit. And the background noise is getting louder again, the kind people usually ignore.

A few stories are clever in a bad way. Others are just frustratingly avoidable. Overall, it feels like quiet pressure is building in places that matter.

Skim it or read it properly, but don’t skip this one.

Some of this will fade by next week. Some of it won’t. That’s the annoying part, figuring out which “minor” thing quietly sticks around and turns into a real problem later.

Anyway, that’s the rundown. Take what you need, ignore what you can, and keep an eye on the stuff that feels a little too easy.