Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità monitorata con il CVE-2026-3055 relativa ai dispositivi Citrix NetScaler è già sotto sfruttamento attivo e permette agli attaccanti di estrarre credenziali e sessioni amministrative dalla memoria. Gli attacchi sono iniziati pochi giorni dopo il rilascio delle patch, colpendo sistemi configurati con SAML e WS-Federation. Il rischio è elevato: gli aggressori possono ottenere il controllo completo dei dispositivi. Migliaia di istanze risultano esposte online, mentre restano incertezze sull’effettiva portata della compromissione.
Una vulnerabilità nei dispositivi di rete Citrix, è stata recentemente segnalata come potenziale minaccia. Ed è già attivamente sfruttata dagli hacker. Gli attacchi sono iniziati quasi immediatamente dopo il rilascio delle patch di sicurezza (come oramai è prassi consolidata) e consentono di intercettare le credenziali di accesso principali.
Il bug di sicurezza è relativo ad una vulnerabilità critica monitorata con il codice CVE-2026-3055, il quale è collegato al vendor Citrix NetScaler ADC e Citrix NetScaler Gateway. Tale bug permette agli aggressori di accedere ad alcune informazioni sensibili, inclusi gli ID di sessione dell’amministratore. Questi dati aprono la strada al controllo e alla compromissione completa del dispositivo.
Citrix ha già segnalato il problema in data 23 marzo, assieme ad un’altra vulnerabilità di elevata gravità. La vulnerabilità interessa le versioni precedenti alla 14.1-60.58, alla 13.1-62.23 e alla 13.1-37.262. Il problema riguarda i dispositivi configurati come provider di identità SAML e alle loro relative installazioni on-premise.
La situazione ha rapidamente attirato l’attenzione degli specialisti di sicurezza informatica e della Cyber Threat Intelligence. Secondo l’azienda watchTowr, il meccanismo interno di questa vulnerabilità è particolarmente simile agli attacchi CitrixBleed e CitrixBleed2, largamente sfruttati nel 2023 e nel 2025.
WatchTowr ha anche notato diverse attività sospette prima dell’inizio degli attacchi su vasta scala. Gli hacker avevano iniziato a sfruttare queste specifica vulnerabilità fin dal 27 marzo. La rete delle honeypot ha rilevato tante richieste provenienti da indirizzi noti e classificati dannosi, confermando che il bug di sicurezza si era trasformato in exploit ed era sotto sfruttamento attivo.
L’analisi ha rivelato che la vulnerabilità CVE-2026-3055 coinvolge almeno due errori di lettura della memoria. Uno di questi è correlato all’elaborazione dell’accesso SAML, l’altro invece, è correlato al meccanismo di autenticazione passiva WS-Federation. Entrambi consentono una estrazione diretta dei dati dalla memoria del dispositivo, incluse le sessioni amministratore attive.
Secondo gli esperti di sicurezza informatica, la descrizione del problema nel bollettino ufficiale era parzialmente incompleta. Per aiutare i difensori, gli specialisti hanno pubblicato uno script Python che aiuta a identificare i dispositivi vulnerabili all’interno della rete.
Citrix non ha ancora confermato alcuna vulnerabilità nei documenti ufficiali. Nel frattempo, secondo la ShadowServer Foundation, circa 29.000 dispositivi NetScaler e altri 2.250 gateway sono accessibili online. Non è ancora noto quanti di questi siano vulnerabili.
