🔍 Contexte

Publié le 30 mars 2026 par watchTowr Labs, cet article constitue la Partie 2 d’une analyse de la vulnérabilité CVE-2026-3055 affectant Citrix NetScaler. Les chercheurs ont découvert que ce CVE unique couvre en réalité au moins deux vulnérabilités distinctes de type memory overread.

🐛 Vulnérabilités identifiées

Les deux endpoints affectés sont :

  • /saml/login (analysé en Partie 1)
  • /wsfed/passive?wctx (objet de cet article)

La seconde vulnérabilité est déclenchée par une requête GET vers /wsfed/passive?wctx où le paramètre wctx est présent dans la query string mais sans valeur ni symbole =. Le système vérifie uniquement la présence du paramètre sans valider l’existence de données associées, ce qui provoque un accès à de la mémoire morte (dead memory).

💥 Impact

  • La mémoire fuitée est retournée encodée en base64 dans le cookie NSC_TASS
  • La fuite peut atteindre plusieurs kilooctets de mémoire par requête
  • La mémoire est dynamique : deux requêtes identiques retournent des chunks différents
  • Les chercheurs ont démontré l’obtention de session IDs d’administration authentifiés
  • Le comportement est comparé à CitrixBleed2 (même mécanisme, même cookie de réponse)
  • Les requêtes observées semblent internes au NetScaler (présence du header Citrix-ns-orig-srcip)

🚨 Exploitation in-the-wild

  • Des preuves d’exploitation active ont été détectées sur le réseau de honeypots de watchTowr
  • L’exploitation a débuté au moins le 27 mars 2026, à partir d’IPs de threat actors connus
  • Les prérequis : l’appliance doit être configurée en tant que SAML IDP

🛡️ Réponse patché vs non-patché

  • Vulnérable : réponse HTTP 302 avec cookie NSC_TASS contenant de la mémoire fuitée
  • Patché : réponse HTTP 302 simple sans données sensibles (Location: /)

🧰 Outil de détection

watchTowr publie un Detection Artifact Generator (script Python) permettant aux défenseurs d’identifier les hôtes vulnérables dans leur parc.

📄 Cet article est une analyse technique publiée par watchTowr Labs, visant à documenter la vulnérabilité, démontrer son exploitabilité et fournir des artefacts de détection aux défenseurs.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1005 — Data from Local System (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)

🔗 Source originale : https://labs.watchtowr.com/please-we-beg-just-one-weekend-free-of-appliances-citrix-netscaler-cve-2026-3055-memory-overread-part-2/