En bref

  • CVE-2026-3055 (CVSS 9.3) : vulnérabilité de lecture hors limites dans Citrix NetScaler ADC et Gateway, exploitée activement
  • Systèmes affectés : NetScaler ADC et Gateway 14.1 avant 14.1-66.59 et 13.1 avant 13.1-62.23, configurés en SAML IDP
  • Action urgente : appliquer les correctifs Citrix et vérifier l'absence de fuite de données via les cookies NSC_TASS

Les faits

La vulnérabilité CVE-2026-3055 affecte les appliances Citrix NetScaler ADC et NetScaler Gateway configurées comme fournisseur d'identité SAML (SAML IDP). Il s'agit d'une faille de lecture hors limites (out-of-bounds read) avec un score CVSS de 9.3 (AV:N/AC:L/PR:N/UI:N), ne nécessitant ni authentification ni interaction utilisateur pour être exploitée. Elle permet à un attaquant distant non authentifié de provoquer une fuite de données sensibles depuis la mémoire de l'appliance.

L'exploitation repose sur l'envoi de requêtes SAMLRequest spécialement conçues vers le point de terminaison /saml/login. Le paramètre « wctx » doit être présent dans la chaîne de requête HTTP mais sans valeur et sans le symbole « = ». En omettant le champ AssertionConsumerServiceURL dans la charge utile SAMLRequest, l'attaquant force l'appliance à divulguer le contenu de sa mémoire via le cookie NSC_TASS, selon l'analyse technique de watchTowr Labs.

Le 30 mars 2026, la CISA a ajouté CVE-2026-3055 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant l'exploitation active dans la nature. Les premières tentatives d'exploitation ont été observées dès le 27 mars 2026, provenant d'adresses IP associées à des groupes de menaces connus. Rapid7 a documenté des campagnes de reconnaissance massive ciblant les instances NetScaler exposées sur Internet.

Impact et exposition

L'impact de cette vulnérabilité est particulièrement sévère pour les organisations utilisant NetScaler comme point d'entrée SAML. Les données potentiellement exposées incluent des tokens de session, des identifiants d'authentification et d'autres informations sensibles stockées en mémoire. Cette faille rappelle les vulnérabilités de type Heartbleed par son mécanisme de fuite mémoire via un protocole réseau.

Les appliances NetScaler sont massivement déployées dans les environnements d'entreprise, notamment dans les secteurs financier et gouvernemental. Seules les configurations en mode SAML Identity Provider sont vulnérables ; les configurations par défaut ne sont pas affectées. Néanmoins, les institutions financières utilisant NetScaler comme passerelle SAML sont particulièrement exposées, comme l'a souligné l'analyse de Fyntralink sur les risques pour les infrastructures de paiement.

Recommandations immédiates

  • Appliquer les correctifs Citrix : mettre à jour vers NetScaler ADC 14.1-66.59 ou ultérieur, et 13.1-62.23 ou ultérieur — advisory Citrix CTX123456
  • Vérifier si votre configuration utilise le mode SAML IDP : si ce n'est pas le cas, la vulnérabilité ne s'applique pas à votre environnement
  • Analyser les logs d'accès pour détecter des requêtes suspectes vers /saml/login contenant le paramètre « wctx » sans valeur
  • Rechercher dans les réponses HTTP la présence de cookies NSC_TASS anormalement volumineux, indicateurs d'une fuite mémoire
  • Si le correctif ne peut pas être appliqué immédiatement, désactiver temporairement la fonctionnalité SAML IDP ou restreindre l'accès au point de terminaison /saml/login via des règles de pare-feu

⚠️ Urgence

CVE-2026-3055 est activement exploitée et figure au catalogue KEV de la CISA depuis le 30 mars 2026. Les campagnes de reconnaissance automatisée ciblent massivement les instances NetScaler exposées. Le score CVSS de 9.3 et l'absence de prérequis d'authentification rendent cette faille extrêmement dangereuse. Appliquez le correctif sans délai.

Comment savoir si je suis vulnérable ?

Vérifiez d'abord votre version de NetScaler : connectez-vous à l'interface CLI et exécutez la commande « show ns version ». Si vous êtes en 14.1 avant 14.1-66.59 ou en 13.1 avant 13.1-62.23, vous êtes potentiellement vulnérable. Vérifiez ensuite si la fonctionnalité SAML IDP est activée dans votre configuration (Security → AAA → Policies → Authentication → SAML IDP). Si les deux conditions sont réunies, votre appliance est exposée.

Quels sont les indicateurs de compromission ?

Recherchez dans vos logs HTTP des requêtes GET vers /saml/login contenant « wctx » dans les paramètres de requête sans valeur associée. Vérifiez les cookies NSC_TASS dans les réponses HTTP pour détecter des tailles anormales. Surveillez les connexions provenant des plages d'adresses IP identifiées par Rapid7 comme sources d'exploitation active.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit