Una vulnerabilidad de seguridad crítica recientemente divulgada que afecta a Citrix NetScaler ADC y NetScaler Gateway está siendo objeto de actividad de reconocimiento activo, según informes de Defused Cyber y watchTowr.
La vulnerabilidad, identificada como CVE-2026-3055 y con una puntuación CVSS de 9.3, corresponde a una validación de entrada insuficiente que provoca una sobrelectura de memoria. Esto podría permitir a un atacante filtrar información potencialmente sensible.
Según Citrix, la explotación exitosa del fallo requiere que el dispositivo esté configurado como un Proveedor de Identidad SAML (SAML IDP).
"Ahora estamos observando actividad de fingerprinting de métodos de autenticación contra NetScaler ADC/Gateway en entornos reales", declaró Defused Cyber en una publicación en X. "Los atacantes están probando /cgi/GetAuthMethods para enumerar los flujos de autenticación habilitados en nuestros honeypots de Citrix".
Esto probablemente representa un intento de los actores de amenazas por determinar si NetScaler ADC y NetScaler Gateway están efectivamente configurados como SAML IDP.
En una advertencia similar, watchTowr informó haber detectado reconocimiento activo contra instancias de NetScaler en su red de honeypots, lo que aumenta la posibilidad de que la explotación en entornos reales ocurra en cualquier momento.
"Las organizaciones que ejecuten versiones afectadas de Citrix NetScaler en configuraciones vulnerables deben dejar todo y aplicar parches de inmediato", afirmó la compañía. "Cuando el reconocimiento de los atacantes pase a la explotación activa, la ventana para responder se evaporará".
La vulnerabilidad afecta a las versiones de NetScaler ADC y NetScaler Gateway anteriores a 14.1-60.58, 14.1 anteriores a 14.1-66.59, y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262.
En los últimos años, varias vulnerabilidades de seguridad que afectan a NetScaler han sido explotadas activamente en entornos reales, incluyendo CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 y CVE-2025-7775.
Por lo tanto, es crucial que los usuarios actualicen rápidamente a las últimas versiones para mantenerse protegidos, ya que es cuestión de no si, sino cuándo ocurrirá un ataque.
Actualización
La vulnerabilidad ha sido explotada activamente en entornos reales. Defused Cyber señaló que "los atacantes envían payloads SAMLRequest manipulados a /saml/login omitiendo el campo AssertionConsumerServiceURL, lo que provoca que el dispositivo filtre el contenido de la memoria a través de la cookie NSC_TASS". Según watchTowr, los intentos de explotación se han originado desde direcciones IP de actores de amenazas conocidos a partir del 27 de marzo de 2026.
En un análisis publicado la semana pasada, watchTowr indicó que la vulnerabilidad puede explotarse para devolver datos sensibles residuales de una solicitud anterior en la memoria a través de NSC_TASS al enviar una solicitud al endpoint "/saml/login". Cuando se envía la misma solicitud a una instancia parcheada, la respuesta es: "El análisis de la aserción presentada falló; por favor, contacte a su administrador".
Una investigación adicional reveló que CVE-2026-3055 no se refiere a una única vulnerabilidad de sobrelectura de memoria, sino a varias distintas que afectan los siguientes endpoints:
- - /saml/login
- - /wsfed/passive?wctx
Para que ocurra la explotación, es necesario que el parámetro "wctx" de la cadena de consulta esté presente en la solicitud HTTP, pero sin ningún valor y sin el símbolo "=".
"Un Citrix NetScaler sin parchear/vulnerable verificará erróneamente solo su presencia antes de acceder al búfer asociado con la variable, en lugar de verificar la presencia de datos asociados", explicó Aliz Hammond, investigador de watchTowr. "Como no hay un valor real en la solicitud, simplemente apunta a memoria muerta".
"Si el Citrix NetScaler objetivo es vulnerable, filtrará memoria por todas partes y parecerá una escena del crimen. Esta memoria llega, nuevamente, codificada en Base64 en la misma cookie NSC_TASS que discutimos antes, pero sin ninguna de las limitaciones de la 'otra' vulnerabilidad parcheada en CVE-2026-3055".
Fallo de Seguridad Añadido al Catálogo KEV
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado CVE-2026-3055 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias de la Rama Ejecutiva Civil Federal (FCEB) apliquen las correcciones antes del 2 de abril de 2026.
(La historia se actualizó después de su publicación el 30 de marzo de 2026 para incluir detalles adicionales del fallo.)
