
Vulnerabilidades na validação de requisições SAML, processamento de memória em tráfego HTTP/2 e exposição de endpoints de gerenciamento permitem negação de serviço e leitura arbitrária de arquivos.
| Componente | NetScaler ADC e NetScaler Gateway, incluindo versões FIPS e NDcPP, bem como servidores virtuais configurados para SAML IDP, Gateway AAA, Balanceamento de Carga (LB), DNS Proxy e resolução recursiva. |
| Vetor | Exploração remota via envio de requisições malformadas (SAML, HTTP/2 ou TCP), estouro de memória na infraestrutura de rede ou controle externo de caminho em requisições não autenticadas direcionadas a IPs de gerenciamento. |
| Impacto | Negação de serviço, comportamento errático do sistema, leitura arbitrária e não autenticada de arquivos do servidor, e vazamento de bytes da memória através de leitura fora dos limites do buffer. |
| Prioridade | Aplicação imediata das correções nos ramais 13.1 e 14.1-FIPS, além do ajuste manual obrigatório no parâmetro Http2SmallWndTimeout para estáções sem HTTP Strict Profiles. |
A Citrix liberou atualizações de segurança fundamentais para corrigir um conjunto de seis vulnerabilidades que afetam diretamente os appliances NetScaler ADC e NetScaler Gateway. As falhas recém-corrigidas permitem que atacantes remotos provoquem indisponibilidade do sistema through negação de serviço ou realizem a leitura arbitrária de arquivos internos. As correções abrangem o escopo de execução de memória do produto, abordando falhas de estouro de buffer, falhas na liberação de memória após o fim do ciclo de vida de requisições, além de vulnerabilidades na validação de requisições de autenticação SAML e tráfego TCP.
A atualização exige atenção das equipes de Infraestrutura e Cloud Security porque a correção não se restringe apenas ao patch do sistema operacional subjacente. Um dos vetores de negação de serviço explorava a ausência de descarte de memória em requisições HTTP/2 malformadas, exigindo que administradores revisem a configuração de rede após a instalação. Não há registros confirmados de exploração ativa em ambientes operacionais antes do lançamento deste aviso, contudo o histórico de ataques pesados sobre a infraestrutura da Citrix obriga a adoção de rotas de remediação urgente e validação de telemetria prolongada.
A vulnerabilidade classificada como CVE-2026-8451 concentra um risco grave de exposição de memória. O problema é originado por uma validação insuficiente durante o processo de análise de requisições de autenticação SAML. Especificamente, quando o NetScaler atua como um Provedor de Identidade SAML (IDP), o envio de requisições malformadas gera uma leitura de memória fora dos limites. Pesquisadores determinaram que está falha compartilha a mesma causa raiz de um problema crítico revelado anteriormente. A manipulação do tamanho da requisição permite a extração forçada de pequenos pacotes de dados do servidor, embora a leitura anormal seja interrompida ao colidir com caracteres de controle, como o caractere nulo ou o símbolo de maior (>), функционando como um delimitador acidental na vazão de dados.
No escopo de negação de serviço, a CVE-2026-13474 apresenta um fluxo relevante em ambientes que utilizam o protocolo HTTP/2. A falha reside na falha do sistema em liberar memória após o tempo de vida efetivo de streams interrompidos por small-window. Requisições forjadas causam um vazamento contínuo de recursos até a exaustão da memória do appliance, derrubando serviços essenciais. Já a vulnerabilidade rastreada como CVE-2026-10816 dispensa autenticação prévia e abusa do controle externo sobre o caminho ou nome do arquivo. Desta forma, o atacante consegue interagir diretamente com filesystem lendo arquivos sensíveis caso possua acesso à interface de gerenciamento, como o endereço NSIP, Cluster Management IP ou SNIP com permissão de gestão habilitada.
Outros vetores de indisponibilidade, como a CVE-2026-8452, causam impacto direto em servidores virtuais AAA ou Gateways por meio de transbordamento de memória endereçada, fazendo com que o serviço sofra pane e caia. A vulnerabilidade CVE-2026-8655 detona comportamento irregular por transbordamento de memória, mas depende da configuração de infraestrutura avançada, com probes visando instâncias de balanceamento de carga do tipo Oracle, proxies DNS e resolução recursiva. Por fim, a CVE-2026-10817 demonstra mais uma falha intrínseca na validação de tráfego malformado, ligada à habilitação de TCP TimeStamp no Perfil TCP do servidor, que também culmina em leitura indevida fora dos limites de memória.
A atualização é de caráter crítico para a estabilidade do perímetro corporativo. Todos os appliances NetScaler que entregam aplicações web, estabelecem VPNs, ou roteiam resolução de DNS são direta ou indiretamente afetados. Para garantir a estabilidade frente às falhas citadas, a aplicação da correção no domínio do Virtual Server e no link de gerenciamento é primária.
- NetScaler ADC e NetScaler Gateway anteriores à versão 13.1-63.18 do ramo 13.1.
- Aparelhos NetScaler ADC 14.1-FIPS expostos antes da atualização para a compilação 14.1-72.61 FIPS.
- Implementações rigorosamente criptografadas executando o ramo 13.1-FIPS ou 13.1-NDcPP antes do nível de compilação 13[.]1[.]37[.]272.
- Servidores configurados com perfis TCP habilitando TCP TimeStamp (impactados pela
CVE-2026-10817). - Servidores virtuais de LB, CS ou VPN responsivos ao HTTP/2 (afetados severamente pela
CVE-2026-13474). - Configurações de SAML IDP (visadas pela exploração
CVE-2026-8451). - Portas lógicas de DNS Proxy, Resolução Recursiva e balanceamento Oracle (superfície da
CVE-2026-8655).
O rastreamento proativo de tentativas de exploração foca no envio de tráfego arquitetado para derrubar ou confusing o motor de processamento de textos e requisições do NetScaler. Analistas de SOC devem buscar identificar o uso de payloads direcionados a expor as falhas lógicas na estabilização de rotas HTTP e inicialização SAML.
- Inspecionar logs de acesso buscando chamadas a endpoints de gerenciamento (NSIP ou SNIP) não autenticadas e contendo traços de diretórios arbitrais (
../) visando acessar arquivos bloqueados pela correção daCVE-2026-10816. - Monitorar padrões anormais no corpo do XML em requisições SAML. O tamanho anômalo da entrada combinado com a presença inesperada de caracteres de controle pode denotar tentativas mapeando a leitura fora dos limites associada à
CVE-2026-8451. - Observar o tráfego HTTP/2 buscando requisições repetitivas, anomalias de janela de recepção restrita (small-window stalled streams) e o subsequente aumento abrupto na curva de alocação de memória do appliance.
- Monitorar alertas de reinício não planejado (crashes) ou processos ocupando limites de CPU e memória inconsistentes, derivados de ataques de sobrecarga 利用 as murros de falha nas alocações
CVE-2026-8452eCVE-2026-8655.
A ação prioritária é是该 atualizar o firmware dos equipamentos, fazendo uso de rotas de manutenção que garantam a continuidade do tráfego durante a queda temporária dos serviços. Contudo, a simples atualização do arquivo binário não encerra o ciclo de remediação para alguns vetores. No caso de servidores que escutam requisições HTTP/2 afetados pela falha de exaustão de memória por stall de janela, a correção exige reconfiguração ativa.
- Instalar compilações corrigidas: Atualizar aplicação fisica para 13.1-63.18, 14.1-72.61 FIPS ou versão de compilação Web 13[.]1[.]37[.]272 ou superiores dependendo da arquitetura ramo型和 FIPS.
- Para appliances utilizando HTTP Strict Profiles, o timeout da funcionalidade atingida será aplicado por padrão como 30 segundos automaticamente.
- Para aparelhos que NÃO adotam HTTP Strict Profiles em sua configuração basal, ajustar manualmente o parâmetro
Http2SmallWndTimeoutpara 30 segundos. A não aplicação desse parâmetro customizado deixará a falha de negação de serviço mesmo com a atualização instalada. - Restringir com firewall (ACL) o tráfego direto ao NSIP, SNIP ou Cluster Management IP apenas para sub-redes de Administração, eliminando o risco de exploração prática da falha de leitura de arquivo externa.
- Desativar temporariamente o TCP TimeStamp nos Perfis TCP dos servidores virtuais afetados se a aplicação do patch que corrige a falha de leitura de memória não puder ser realizada imediatamente.
0 Comentários