CitrixBleed 3 : CVE-2026-3055 et CVE-2026-4368 — Fuite mémoire critique sur NetScaler

🔍 Contexte

Article publié le 16 avril 2026 par Picus Security, analysant en détail deux nouvelles vulnérabilités affectant Citrix NetScaler ADC et NetScaler Gateway, surnommées collectivement « CitrixBleed 3 » par la communauté sécurité.

🚨 Vulnérabilités identifiées

CVE-2026-3055 (CVSS v4.0 : 9.3 — Critique) est une lecture hors limites (CWE-125) non authentifiée affectant les appliances configurées en tant que SAML Identity Provider. Elle expose via le cookie NSC_TASS des données mémoire encodées en base64 incluant tokens de session, assertions SAML et credentials LDAP.

CVE-2026-4368 (CVSS v4.0 : 7.7 — Élevé) est une race condition (CWE-362) affectant uniquement le build 14.1-66.54, permettant un cross-user session hijack sur les vservers Gateway ou AAA.

⚙️ Mécanismes d’exploitation

Deux primitives d’exploitation distinctes sont documentées pour CVE-2026-3055 :

• Primitive #1 : POST malformé vers /saml/login avec un SAMLRequest XML omettant l’attribut AssertionConsumerServiceURL, provoquant une lecture hors buffer retournée dans NSC_TASS.
• Primitive #2 : Requête vers /wsfed/passive?wctx sans valeur associée (absence du signe =), forçant la lecture d’un buffer non initialisé — fuite de plusieurs kilooctets par requête.

La reconnaissance préalable s’effectue via GET /cgi/GetAuthMethods.

📅 Chronologie et statut

• Exploitation active confirmée depuis ~27 mars 2026
• CISA KEV : CVE-2026-3055 ajouté le 30 mars 2026, deadline fédérale fixée au 2 avril 2026
• Versions corrigées : 14.1-66.59, 13.1-62.23, 13.1-FIPS/NDcPP 13.1-37.262

🏛️ Contexte historique

Cette vulnérabilité s’inscrit dans une série de failles mémoire NetScaler :

• CVE-2023-4966 (CitrixBleed) — exploité par des affiliés LockBit contre Boeing, ICBC, DP World
• CVE-2025-5777 (CitrixBleed 2)
• CVE-2025-6543 et CVE-2025-7775 — exploités en 2025

📄 Nature de l’article

Il s’agit d’une analyse technique approfondie publiée par un vendeur de sécurité (Picus Security), visant à documenter les mécanismes d’exploitation, les indicateurs de détection et les versions affectées, tout en promouvant sa plateforme de simulation de menaces.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1212 — Exploitation for Credential Access (Credential Access)
• T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
• T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
• T1552 — Unsecured Credentials (Credential Access)

IOC

• URLs : /saml/login — URLhaus
• URLs : /wsfed/passive — URLhaus
• URLs : /cgi/GetAuthMethods — URLhaus
• CVEs : CVE-2026-3055 — NVD · CIRCL
• CVEs : CVE-2026-4368 — NVD · CIRCL
• CVEs : CVE-2023-4966 — NVD · CIRCL
• CVEs : CVE-2025-5777 — NVD · CIRCL
• CVEs : CVE-2025-6543 — NVD · CIRCL
• CVEs : CVE-2025-7775 — NVD · CIRCL

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ picussecurity.com — source non référencée (0pts)
• ✅ 12855 chars — texte complet (fulltext extrait) (15pts)
• ✅ 9 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/3 IOCs confirmés externellement (0pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.picussecurity.com/resource/blog/cve-2026-3055-cve-2026-4368-inside-the-netscaler-citrixbleed-3-memory-overread