# CVE-2026-4368 - Citrix NetScaler ADC/Gateway RCE > [!high] CVSS 7.7 - RCE no Citrix NetScaler ADC e Gateway > Execução remota de código não autenticada no Citrix NetScaler ADC e Gateway corrigida em março de 2026 - dispositivos de acesso de rede corporativa amplamente utilizados no Brasil. ## Visão Geral A [[cve-2026-4368|CVE-2026-4368]] é uma vulnerabilidade de **execução remota de código (RCE)** no **Citrix NetScaler ADC** e **NetScaler Gateway**, públicada pela Citrix em março de 2026 com CVSS 7.7. O vetor `AV:N/AC:L/PR:N/UI:N/S:C` indica exploração remota sem autenticação e sem interação do usuário, com escopo de impacto que ultrapassa o componente vulnerável. O NetScaler é o ponto de acesso VPN e balanceador de carga de aplicações mais utilizado em grandes organizações globalmente. O histórico do produto como alvo recorrente de grupos de ransomware - incluindo o famoso "Citrix Bleed" ([[cve-2023-4966|CVE-2023-4966]]) que afetou milhares de organizações em 2023 - torna esta CVE de atenção imediata. Aplicar patches em dispositivos de borda de rede deve ser sempre tratado como remediação prioritária. > [!latam] Impacto LATAM > O Citrix NetScaler é amplamente utilizado como gateway VPN e ADC em grandes bancos, operadoras de telecomúnicações e órgãos governamentais brasileiros. Um RCE não autenticado nestes dispositivos pode conceder aos atacantes acesso inicial direto às redes corporativas internas, frequentemente usados como trampolim para campanhas de ransomware e espionagem. ## Impacto Técnico O vetor de impacto `S:C` (Scope Changed) indica que a exploração bem-sucedida pode comprometer não apenas o próprio appliance NetScaler, mas também sistemas que se conectam através dele. Isso é especialmente crítico em implantações onde o NetScaler opera como gateway VPN, pois o comprometimento pode resultar em: - **Acesso à rede interna:** o NetScaler comprometido pode servir como pivô para movimento lateral - **Intercepção de tráfego VPN:** captura de credenciais de usuários autenticados via VPN - **Exfiltração de dados de sessão:** tokens de autenticação válidos de sessões ativas **TTPs associadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do gateway de borda - [[t1021-remote-services|T1021 - Remote Services]] - abuso do acesso VPN pós-comprometimento - [[t1078-valid-accounts|T1078 - Valid Accounts]] - reutilização de sessões interceptadas ## Mitigação 1. Aplicar patches Citrix para [[cve-2026-4368|CVE-2026-4368]] e CVE-2026-3055 no NetScaler ADC e Gateway imediatamente 2. Verificar integridade das configurações de VPN e autenticação pós-patch 3. Revisar logs de acesso retroativos para identificar possível exploração anterior ao patch 4. Restringir acesso à interface de gerenciamento do NetScaler por ACLs de rede 5. Considerar isolamento temporário do dispositivo se patch imediato não for operacionalmente viável ## Referências - [Citrix Security Bulletin - Março 2026](https://support.citrix.com/s/article) - [NVD - CVE-2026-4368](https://nvd.nist.gov/vuln/detail/CVE-2026-4368) ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-4966|CVE-2023-4966]] ("Citrix Bleed") · [[cve-2026-4368|CVE-2026-4368]] · [[cve-2023-3467|CVE-2023-3467]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1021-remote-services|T1021 - Remote Services]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores em risco:** [[financial|financeiro]] · [[government|governo]] · [[telecommunications|telecomúnicações]]