Falha crítica de leitura excessiva de memória no NetScaler ADC e NetScaler Gateway pode expor informações sensíveis quando o appliance opera como provedor de identidade SAML.
| Componente | Citrix NetScaler ADC e NetScaler Gateway configurados como SAML Identity Provider. |
| Vetor | Requisições HTTP contra fluxos SAML, incluindo parâmetro wctx presente sem valor e sem o símbolo =, além de sondagens de métodos de autenticação em /cgi/GetAuthMethods. |
| Impacto | Leitura excessiva de memória por validação insuficiente de entrada, com possibilidade de retorno de dados residuais de requisições anteriores. |
| Prioridade | Atualizar imediatamente instâncias afetadas e revisar exposição de endpoints SAML e métodos de autenticação publicados na borda. |
| Versões | Afeta versões antes de 14.1-60.58, ramo 14.1 antes de 14.1-66.59, ramo 13.1 antes de 13.1-62.23, além de NetScaler ADC 13.1-FIPS e 13.1-NDcPP antes de 13.1-37.262. |
| Artefatos | CVE-2026-3055, CVSS 9.3, /saml/login, /cgi/GetAuthMethods, NSC_TASS, wctx. |
| Mitigação | Aplicar as versões corrigidas e cumprir o prazo de correção definido para ambientes federais dos EUA até 2 de abril de 2026 quando aplicável. |
A vulnerabilidade CVE-2026-3055 afeta o Citrix NetScaler ADC e o NetScaler Gateway em uma condição específica: o appliance precisa estar configurado como provedor de identidade SAML. O problema foi classificado com CVSS 9.3 e decorre de validação insuficiente de entrada, resultando em leitura excessiva de memória. Na prática, a falha pode fazer com que a instância vulnerável retorne dados residuais mantidos na memória a partir de uma requisição anterior, criando risco de exposição de informação sensível sem que o atacante precise obter execução de código no equipamento.
A atividade observada até agora inclui reconhecimento ativo contra instâncias NetScaler, com sondagens direcionadas a /cgi/GetAuthMethods para identificar fluxos de autenticação habilitados. Esse comportamento é relevante porque ajuda o operador externo a inferir se a instância está operando com autenticação SAML em uma configuração compatível com a falha. O ponto técnico central não é um ataque genérico contra qualquer NetScaler exposto, mas a combinação de versão vulnerável, função SAML IDP e parsing incorreto de parâmetros em requisições específicas.
A CISA adicionou CVE-2026-3055 ao catálogo de vulnerabilidades conhecidas exploradas, com exigência de correção para agências civis federais dos Estados Unidos até 2 de abril de 2026. Mesmo para organizações fora desse escopo regulatório, a presença de reconhecimento em honeypots reduz a margem operacional: instâncias expostas à internet, especialmente em borda de identidade e acesso remoto, devem ser tratadas como prioridade de atualização e verificação.
A condição explorável envolve a forma como o NetScaler processa dados associados ao fluxo SAML. A análise técnica descreve retorno de dados sensíveis remanescentes em memória por meio de NSC_TASS quando uma requisição é enviada ao endpoint /saml/login. Em uma instância corrigida, a mesma classe de requisição resulta em erro de parsing da assertion apresentada, sem devolver o conteúdo residual. Essa diferença de comportamento é útil para validação defensiva controlada, mas não deve ser usada como teste agressivo em ambientes de terceiros.
O detalhe mais importante está no parâmetro de query string wctx. Para que a condição seja acionada, o parâmetro precisa estar presente na requisição HTTP, mas sem valor associado e sem o caractere =. O comportamento vulnerável ocorre porque a instância não corrigida verifica a presença do parâmetro antes de acessar o buffer correspondente, sem confirmar que há dados válidos vinculados a ele. Como não existe valor real naquela posição, o acesso pode apontar para memória residual e devolver conteúdo que não pertence à requisição atual.
A atividade de reconhecimento em /cgi/GetAuthMethods indica uma etapa anterior à exploração direta: a enumeração de métodos de autenticação habilitados. Esse tipo de sondagem permite separar appliances que apenas expõem NetScaler daqueles que têm fluxos de autenticação relevantes para SAML. Para defesa, isso muda a leitura dos logs: uma requisição isolada ao endpoint de métodos de autenticação pode ser ruído de internet, mas repetição contra múltiplos appliances, variação de user-agent ou sequência próxima de tentativas em /saml/login deve ser tratada como indicador de preparação técnica.
A superfície afetada inclui NetScaler ADC e NetScaler Gateway em versões anteriores às correções publicadas, desde que a função SAML Identity Provider esteja configurada. Ambientes que usam o appliance apenas para outros fluxos não devem ser automaticamente classificados com o mesmo risco de exploração, mas ainda precisam confirmar versão e configuração real. Como NetScaler frequentemente fica na borda de autenticação, VPN, publicação de aplicações e tráfego corporativo, a exposição pública de endpoints de autenticação aumenta a sensibilidade da falha.
As versões afetadas abrangem instâncias antes de 14.1-60.58, o ramo 14.1 antes de 14.1-66.59, o ramo 13.1 antes de 13.1-62.23, além de NetScaler ADC 13.1-FIPS e 13.1-NDcPP antes de 13.1-37.262. A existência de diferentes ramos corrigidos exige inventário preciso: não basta registrar que o ativo está em 14.1 ou 13.1; é necessário comparar o build exato instalado com o limite corrigido aplicável ao ramo em uso.
- NetScaler ADC e NetScaler Gateway expostos com função SAML IDP habilitada.
- Instâncias em ramos 14.1, 13.1, 13.1-FIPS e 13.1-NDcPP abaixo dos builds corrigidos informados.
- Endpoints de autenticação acessíveis a partir da internet, especialmente
/cgi/GetAuthMethodse/saml/login. - Appliances que concentram autenticação, acesso remoto ou publicação de aplicações críticas.
A caça deve começar por logs HTTP, WAF, balanceadores, telemetria do próprio appliance e registros de borda que preservem caminho, query string, método, origem, user-agent e código de resposta. O principal sinal de reconhecimento é acesso a /cgi/GetAuthMethods, especialmente quando ocorre fora de fluxos normais de autenticação, a partir de endereços sem relação com usuários legítimos ou em sequência contra múltiplos hosts. Esse evento sozinho não confirma vazamento de memória, mas indica enumeração de superfície SAML.
Para sinais mais próximos da condição vulnerável, procure requisições a /saml/login com parâmetro wctx presente sem valor e sem o símbolo =. A análise deve preservar a forma original da query string, porque normalizações feitas por proxies, SIEMs ou parsers de logs podem transformar parâmetros vazios e apagar justamente o detalhe que diferencia a tentativa relevante. Também é importante comparar respostas anômalas, tamanho de corpo inesperado e padrões de erro distintos entre instâncias corrigidas e não corrigidas.
Como o impacto envolve possível leitura de memória, a resposta não deve depender apenas de bloqueio de IP. Endereços de origem usados em reconhecimento podem mudar rapidamente, e a atividade pode ser distribuída. O valor defensivo está em identificar appliances vulneráveis, correlacionar sondagens com exposição SAML, confirmar se houve tráfego ao endpoint sensível e preservar evidências antes de atualizações ou reinicializações que alterem o estado da memória e dos logs.
- Acessos incomuns a
/cgi/GetAuthMethodsvindos de origens externas sem sessão de usuário legítima. - Requisições a
/saml/logincontendowctxpresente sem valor e sem=na query string original. - Sequências curtas entre enumeração de métodos de autenticação e tentativa contra fluxo SAML.
- Respostas com tamanho, cabeçalhos ou corpo divergentes em comparação com instâncias corrigidas.
- Picos de varredura em appliances NetScaler publicados na internet.
A ação principal é atualizar os appliances para os builds corrigidos correspondentes ao ramo em uso. Organizações com NetScaler em borda de identidade devem priorizar instâncias expostas publicamente e aquelas configuradas como SAML IDP. A atualização deve ser acompanhada de verificação de configuração, confirmação do build efetivo após reinicialização e revisão de logs anteriores à correção, porque a presença de reconhecimento ativo indica que a janela de exposição pode ter sido observada por terceiros.
Enquanto a atualização é planejada, reduza exposição desnecessária dos endpoints de autenticação e valide controles de borda que possam registrar e bloquear padrões claramente anômalos. Essa contenção não substitui correção, pois a falha está no processamento interno da requisição pelo appliance. Também é recomendável revisar integrações SAML associadas, sessões ativas e dependências de autenticação, mantendo a resposta proporcional ao impacto confirmado: o contexto sustenta risco de exposição de informação por leitura de memória, não execução remota de código ou movimentação lateral automática.
Depois da correção, execute validação defensiva controlada em ambiente próprio para confirmar que a instância não apresenta o comportamento vulnerável. Em produção, preserve logs, correlacione eventos por janela de tempo e documente quais appliances estavam vulneráveis, quais estavam configurados como SAML IDP e quais receberam tráfego suspeito. Essa matriz permite separar ativos apenas desatualizados daqueles com evidência de sondagem ou tentativa técnica.
- Atualizar para 14.1-60.58, 14.1-66.59, 13.1-62.23 ou 13.1-37.262, conforme o ramo aplicável.
- Inventariar appliances NetScaler e marcar explicitamente quais operam como SAML Identity Provider.
- Revisar logs de
/cgi/GetAuthMethodse/saml/loginantes e depois da correção. - Preservar query strings originais em SIEM, WAF e logs de proxy para não perder parâmetros vazios relevantes.
- Restringir exposição de endpoints de autenticação quando a arquitetura permitir, sem tratar isso como substituto do patch.
- Registrar evidências de reconhecimento e acionar processo de resposta quando houver sequência compatível com tentativa contra o fluxo SAML.
0 Comentários