Non corrigé, il permet à un attaquant distant non authentifié de divulguer des informations potentiellement sensibles de la mémoire de l’appliance.
Selon les experts, une nouvelle vulnérabilité critique similaire aux failles largement exploitées de CitrixBleed et CitrixBleed2 devrait être corrigée immédiatement sur les appareils NetScaler.
La faille, CVE-2026-3055, est une vulnérabilité de lecture hors limites dans les appareils NetScaler ADC et NetScaler Gateway gérés par le client et configurés en tant qu’ID SAML pour approuver l’identité et l’authentification. Sa gravité est évaluée à 9,3 sur l’échelle CVSS,
« Cette vulnérabilité est une vulnérabilité à laquelle les acteurs de la menace et les chercheurs prêtent attention », a-t-il déclaré.
La vulnérabilité a des ramifications similaires à celles de CitrixBleed de 2023 et de fuite de mémoire CitrixBleed2 de 2025, a ajouté Emmons. Ensuite, des attaquants non authentifiés et sans niveau d’accès existant ont pu voler les informations d’identification des systèmes Citrix NetScaler critiques pour l’entreprise exposés à l’Internet public.
CitrixBleed2 a permis aux attaquants de divulguer du contenu de mémoire sensible en envoyant des requêtes HTTP spécialement conçues à un point de terminaison Citrix vulnérable. Lorsqu’il a été découvert l’année dernière, les chercheurs d’Imperva ont rapidement repéré des acteurs malveillants tentant d’exploiter cette faille, détectant plus de 11,5 millions d’attaques.
L’une d’entre elles a réussi à impliquer le groupe basé en Chine connu des chercheurs sous le nom de Salt Typhoon, qui, selon Darktrace, a contourné les défenses d’un fournisseur de télécommunications européen anonyme en exploitant CitrixBleed2 et en installant une porte dérobée.
« Nous pensons que c’est également ce que l’exploitation de cette vulnérabilité facilite », a-t-il déclaré, « Accès initial. Avec tant de choses à gagner, il est extrêmement probable que les acteurs de la menace travaillent activement au développement d’un exploit pour CVE-2026-3055, et nous pensons que l’exploitation dans la nature est imminente. »
Sont concernés NetScaler ADC et NetScaler Gateway version 14.1 antérieure à 14.1-66.59 ; NetScaler ADC et NetScaler Gateway version 13.1 antérieure à 13.1-62.23 ; et NetScaler ADC FIPS et NDcPP avant 13.1-37.262
Dans son avis aux clients, Citrix « exhorte fortement les clients concernés » à installer les versions mises à jour correspondantes dès que possible.
Dans le même avis, Citrix a alerté les administrateurs de CVE-2026-4368, une condition de concurrence conduisant à une confusion de session utilisateur, évaluée à 7,7 sur l’échelle CVSS, qui s’applique aux appareils NetScaler ADC et NetScaler Gateway 14.1-66.54.
Cibles principales
Les ADC NetScaler sont des contrôleurs de mise à disposition d’applications qui optimisent la fourniture d’applications Web et traditionnelles grâce à l’équilibrage de charge et à la gestion du trafic, tandis que les passerelles NetScaler sont des solutions VPN.
En tant que catégories, les ADC et les VPN sont des cibles privilégiées pour les acteurs malveillants car ils sont connectés à Internet. « Tout ce sur quoi les organisations ont tendance à s’appuyer fortement et à exposer à la périphérie du réseau constitue une cible juteuse aux yeux des attaquants », a déclaré Emmons. « Cela ne signifie pas que ces produits sont de mauvaise qualité, cela signifie simplement que les acteurs malveillants consacrent beaucoup de temps et d’énergie à trouver et à exploiter leurs failles subtiles. »
Citrix indique dans son avis que CVE-2026-3055 a été découvert grâce à des tests de sécurité des produits, a-t-il souligné, « ce qui signifie qu’ils adoptent une approche proactive pour trouver ces bogues avant les acteurs malveillants. C’est une bonne chose à voir. Les produits Citrix sont incroyablement populaires et largement utilisés, et ils sont régulièrement exposés à l’Internet public, il est donc de la plus haute importance que le fournisseur donne la priorité à la sécurité de cette manière. »
Emmons a déclaré que la meilleure chose que les défenseurs puissent faire pour protéger les ADC et les VPN est de réduire leur surface d’attaque exposée, de garantir que les informations sur les vulnérabilités sont disponibles et efficacement distribuées et de donner la priorité à l’application de correctifs aux systèmes les plus importants.
« Les systèmes qui n’ont pas besoin d’être exposés à Internet ne devraient pas l’être », a-t-il déclaré. « Réduire la surface d’attaque du public est essentiel, dans la mesure du possible. Lorsque cela est déjà en place, il est essentiel de disposer de renseignements précoces et précis sur les vulnérabilités affectant les produits sur lesquels l’organisation s’appuie. L’accent doit être mis sur la garantie que les avis de sécurité importants sont très visibles pour les équipes de défense le jour de leur publication pour tri. »
