# CVE-2026-3055 - Leitura de Memória Fora dos Limites no Citrix NetScaler ADC/Gateway > [!danger] Severidade Crítica - CVSS 9.3 > CVSS: 9.3 (Crítico, v4.0) · Vendor: [[_citrix|Citrix]] · Patch: Sim · CISA KEV: Não ## Resumo **CVE-2026-3055** é uma vulnerabilidade crítica de **leitura de memória fora dos limites** (Out-of-Bounds Read, CWE-125) que afeta o [[netscaler-adc|NetScaler ADC]] e o [[netscaler-gateway|NetScaler Gateway]]. A falha permite que um atacante **não autenticado** realize leituras arbitrárias de memória do appliance, potencialmente vazando dados sensíveis como credenciais, tokens de sessão e chaves criptográficas. A vulnerabilidade foi identificada internamente pela equipe de segurança da [[_citrix|Citrix]] e divulgada em 23 de março de 2026, juntamente com a [[cve-2026-4368|CVE-2026-4368]]. A exploração requer que o appliance esteja configurado como **SAML Identity Provider (IDP)**. **Pontuação de risco:** - CVSS v4.0: **9.3** (Crítico) - EPSS: dados não disponíveis no momento da públicação - CISA KEV: não listado - Exploit público: não disponível ## Detalhes Técnicos A vulnerabilidade resulta de **válidação insuficiente de input** no processamento de requisições SAML, levando a uma condição de leitura fora dos limites de memória alocada (CWE-125: Out-of-Bounds Read). ### Pré-requisitos para exploração - O appliance [[netscaler-adc|NetScaler ADC]] ou [[netscaler-gateway|NetScaler Gateway]] deve estar configurado como **SAML Identity Provider (IDP)** - **Não requer autenticação** - atacante não autenticado pode explorar - **Não requer interação do usuário** - Acesso à rede ao appliance é suficiente ### Caracterização Esta vulnerabilidade apresenta semelhanças conceituais com ataques clássicos do tipo **Heartbleed** - permitindo vazamento progressivo de memória do servidor a cada requisição maliciosa. A [[_citrix|Citrix]] tem um histórico significativo de vulnerabilidades críticas em NetScaler, incluindo [[cve-2023-4966|CVE-2023-4966]] (CitrixBleed) e [[cve-2023-3519|CVE-2023-3519]]. ## Exploração > [!medium] Reconhecimento Ativo Detectado - 28 mar 2026 > watchTowr Labs e Defused Cyber reportaram fingerprinting ativo em honeypots: atacantes sondando endpoint `/cgi/GetAuthMethods` para identificar appliances com SAML IDP habilitado. Sem exploit público confirmado ou exploração ativa, mas a janela de ataque está aberta. **Status atual (28 mar):** reconhecimento ativo em progresso; sem exploração confirmada; sem PoC público. O padrão de reconhecimento observado é consistente com fases de preparação vistas antes da exploração massiva do [[cve-2023-4966|CitrixBleed]] e [[cve-2023-3519|CVE-2023-3519]]. Grupos de ransomware como [[lockbit]] e [[cl0p]] exploram vulnerabilidades Citrix em média 3-7 dias após públicação do advisory quando nenhum PoC existe; tempo pode ser menor se houver pesquisa privada. ## Impacto Um atacante que explore esta vulnerabilidade com sucesso pode: - **Vazamento de memória:** ler conteúdo arbitrário da memória do processo, incluindo credenciais, tokens de sessão e chaves TLS - **Comprometimento de sessão:** sequestrar sessões ativas de usuários autenticados - **Exfiltração de dados:** obter informações sensíveis processadas pelo appliance - **Passo para ataques subsequentes:** usar credenciais obtidas para movimentação lateral na rede ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_citrix\|Citrix]] | NetScaler ADC e Gateway | 14.1 antes de 14.1-66.59 | 14.1-66.59 | | [[_citrix\|Citrix]] | NetScaler ADC e Gateway | 13.1 antes de 13.1-62.23 | 13.1-62.23 | | [[_citrix\|Citrix]] | NetScaler ADC FIPS | 13.1-FIPS antes de 13.1-37.262 | 13.1-37.262 | | [[_citrix\|Citrix]] | NetScaler ADC NDcPP | 13.1-NDcPP antes de 13.1-37.262 | 13.1-37.262 | **Importante:** NetScaler ADC e Gateway versão 12.1 já atingiram End of Life (EOL) e não recebem patches. Migrar imediatamente. ## Mitigação **Patch oficial:** - Advisory: [Citrix Security Bulletin CTX696300](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300) - Data de lançamento: 2026-03-23 **Como aplicar:** 1. Verificar a versão atual no console de gerenciamento do NetScaler 2. Baixar o firmware corrigido no portal de downloads da Citrix 3. Agendar janela de manutenção - a atualização requer reboot do appliance 4. Aplicar o upgrade seguindo o procedimento padrão do NetScaler 5. Verificar que a configuração SAML IDP está funcional após a atualização **Mitigações temporárias:** - **Desabilitar SAML IDP** se não for essencial para as operações (elimina o vetor de ataque) - Restringir acesso ao endpoint SAML via ACL/firewall a IPs confiáveis - Monitorar logs do appliance para requisições SAML anômalas - Implementar detecção de exfiltração de dados na rede (DLP/IDS) ## LATAM/Brasil O [[netscaler-adc|NetScaler ADC]] e o [[netscaler-gateway|NetScaler Gateway]] são amplamente utilizados no Brasil, especialmente nos seguintes setores: - **Setor [[financial]]:** bancos e fintechs utilizam NetScaler para balanceamento de carga e VPN de acesso remoto - impacto direto na disponibilidade e segurança de internet banking - **Setor [[government]]:** órgãos federais e estaduais dependem do NetScaler Gateway para acesso VPN de funcionários remotos - **Saúde:** hospitais e planos de saúde usam Citrix para virtualização de aplicações clínicas A combinação de **exploração sem autenticação** com a presença massiva de Citrix em infraestrutura crítica brasileira torna esta CVE de **alta prioridade** para equipes de segurança na região. O histórico de exploração rápida de vulnerabilidades NetScaler reforça a urgência. ## Referências - [Citrix Security Bulletin CTX696300](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300) - [Arctic Wolf - CVE-2026-3055](https://arcticwolf.com/resources/blog/CVE-2026-3055/) - [NHS England Cyber Alert - CC-4759](https://digital.nhs.uk/cyber-alerts/2026/cc-4759) - [Rapid7 - CVE-2026-3055 ETR](https://www.rapid7.com/blog/post/etr-CVE-2026-3055-citrix-netscaler-adc-and-netscaler-gateway-out-of-bounds-read) ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-4368|CVE-2026-4368]] · [[cve-2023-4966|CVE-2023-4966]] · [[cve-2023-3519|CVE-2023-3519]] **Vendor:** [[_citrix|Citrix]] **Produtos:** [[netscaler-adc|NetScaler ADC]] · [[netscaler-gateway|NetScaler Gateway]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare|saúde]]