🔍 Contexte

Publié le 30 mars 2026 par The Cyber Express, cet article couvre la divulgation de CVE-2026-3055, une vulnérabilité critique affectant les appliances Citrix NetScaler ADC et NetScaler Gateway. Le bulletin de sécurité officiel CTX696300 a été créé le 23 mars 2026 et modifié le 27 mars 2026.

⚠️ Détails de la vulnérabilité

  • CVE-2026-3055 : Score CVSS 9.3 (critique), classée sous CWE-125 (Out-of-bounds Read / Memory Overread)
  • Causée par une validation insuffisante des entrées, permettant à un attaquant non authentifié d’accéder à des zones mémoire non prévues et potentiellement d’exposer des données sensibles
  • L’exploitation nécessite que l’appliance soit configurée en tant que SAML IDP (Identity Provider)
  • Identifiée en interne par Citrix lors de revues de sécurité

🎯 Versions affectées

  • NetScaler ADC / Gateway 14.1 avant 14.1-60.58
  • NetScaler ADC / Gateway 13.1 avant 13.1-62.23
  • NetScaler ADC 13.1-FIPS et 13.1-NDcPP avant 13.1-37.262

🔗 Vulnérabilité secondaire

  • CVE-2026-4368 : Score CVSS 7.7, race condition entraînant des mélanges de sessions utilisateurs, affecte uniquement la version 14.1-66.54 avec des configurations Gateway ou AAA virtual servers

🕵️ Activité des acteurs malveillants

Des efforts de reconnaissance active ont été observés peu après la divulgation publique. Les acteurs malveillants scannent les systèmes pour identifier ceux configurés en SAML IDP, condition préalable à l’exploitation, avant de lancer une attaque complète.

🔎 Détection

  • Pour CVE-2026-3055 : rechercher Add authentication samlIdPProfile .* dans les fichiers de configuration
  • Pour CVE-2026-4368 : rechercher add authentication vserver .* ou add vpn vserver .*

🛠️ Versions corrigées

  • 14.1-60.58, 14.1-66.59 et ultérieures
  • 13.1-62.23 et ultérieures
  • 13.1-37.262 et ultérieures (FIPS/NDcPP)
  • Les déploiements cloud gérés par le vendeur sont mis à jour automatiquement

📌 Type d’article

Article de type alerte de sécurité / rapport de vulnérabilité, visant à informer les équipes de sécurité et les administrateurs sur une vulnérabilité critique activement ciblée et les mesures de remédiation disponibles.

🧠 TTPs et IOCs détectés

TTP

  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-3055
  • CVEs : CVE-2026-4368

🔗 Source originale : https://thecyberexpress.com/cve-2026-3055-citrix-netscaler-saml-idp/

🖴 Archive : https://web.archive.org/web/20260330070436/https://thecyberexpress.com/cve-2026-3055-citrix-netscaler-saml-idp/