Una falla de seguridad crítica recientemente revelada que afecta a Citrix NetScaler ADC y NetScaler Gateway está siendo testigo de una actividad de reconocimiento activa, según Defused Cyber y watchTowr.
La vulnerabilidad, CVE-2026-3055 (Puntuación CVSS: 9,3), se refiere a un caso de validación de entrada insuficiente que provoca una sobrelectura de la memoria, que un atacante podría aprovechar para filtrar información potencialmente confidencial.
Según Citrix, la explotación exitosa de la falla depende de que el dispositivo esté configurado como proveedor de identidad SAML (SAML IDP).
«Ahora estamos observando la actividad de huellas dactilares del método de autenticación contra NetScaler ADC/Gateway en la naturaleza», dijo Defused Cyber en una publicación en X. «Los atacantes están investigando /cgi/GetAuthMethods para enumerar los flujos de autenticación habilitados en nuestros honeypots Citrix».
Es probable que esto sea un intento por parte de los actores de amenazas de determinar si NetScaler ADC y NetScaler Gateway están realmente configurados como un IDP de SAML.
En una advertencia similar, watchTowr dijo que ha detectado un reconocimiento activo contra instancias de NetScaler en su red honeypot, lo que plantea la posibilidad de que la explotación en estado salvaje pueda ocurrir en cualquier momento.
«Las organizaciones que ejecutan versiones afectadas de Citrix NetScaler en configuraciones afectadas deben eliminar las herramientas y aplicar parches de inmediato», dijo la compañía. «Cuando el reconocimiento de los atacantes pase a la explotación activa, la ventana para responder se evaporará».
La vulnerabilidad afecta a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262.
En los últimos años, una serie de vulnerabilidades de seguridad que afectan a NetScaler han sido objeto de explotación activa en la naturaleza. Estos incluyen CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 y CVE-2025-7775.
Por lo tanto, es crucial que los usuarios accedan rápidamente a las últimas actualizaciones lo antes posible para mantenerse protegidos, ya que no se trata de si, sino de cuándo.