Una falta de seguridad crítica recientemente revelada que afecta a Citrix NetScaler ADC y NetScaler Gateway está siendo testimonio de una actividad de registro activa, según Defused Cyber y watchTowr.
La vulnerabilidad, CVE-2026-3055 (Puntuación CVSS: 9,3), se refiere a un caso de subsistencia de entrada insuficiente que provoca una sobrelectura de la memoria, que un atacante podría exprimir para filtrar información potencialmente confidencial.
Según Citrix, la explotación exitosa de la falta depende de que el dispositivo esté configurado como proveedor de identidad SAML (SAML IDP).
“Ahora estamos observando la actividad de huellas dactilares del método de autenticación contra NetScaler ADC/Gateway en la naturaleza”, dijo Defused Cyber en una publicación en X. “Los atacantes están investigando /cgi/GetAuthMethods para enumerar los flujos de autenticación habilitados en nuestros honeypots Citrix”.
Es probable que esto sea un intento por parte de los actores de amenazas de determinar si NetScaler ADC y NetScaler Gateway están positivamente configurados como un IDP de SAML.
En una advertencia similar, watchTowr dijo que ha detectado un registro activo contra instancias de NetScaler en su red honeypot, lo que plantea la posibilidad de que la explotación en estado salvaje pueda ocurrir en cualquier momento.
“Las organizaciones que ejecutan versiones afectadas de Citrix NetScaler en configuraciones afectadas deben eliminar las herramientas y aplicar parches de inmediato”, dijo la compañía. “Cuando el registro de los atacantes pase a la explotación activa, la ventana para contestar se evaporará”.
La vulnerabilidad afecta a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262.
En los últimos primaveras, una serie de vulnerabilidades de seguridad que afectan a NetScaler han sido objeto de explotación activa en la naturaleza. Estos incluyen CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 y CVE-2025-7775.
Por lo tanto, es crucial que los usuarios accedan rápidamente a las últimas actualizaciones lo ayer posible para mantenerse protegidos, ya que no se tráfico de si, sino de cuándo.
