Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità CVE-2026-3055 in Citrix NetScaler ADC e Gateway è stata inserita dalla CISA nel catalogo KEV dopo prove di sfruttamento attivo. Il bug consente agli attaccanti di estrarre ID di sessioni amministrative tramite richieste malevole agli endpoint SAML e WS-Federation, ottenendo il controllo completo degli appliance. Il rischio è elevato per infrastrutture aziendali e governative. Le agenzie federali devono correggere entro il 2 aprile 2026, mentre le aziende sono esposte a compromissioni immediate.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha ufficialmente aggiunto il bug di sicurezza critico che interessa Citrix NetScaler ADC e Gateway nel suo catalogo di vulnerabilità note sfruttate (KEV).
La decisione è stata presa dopo la comparsa di prove di sfruttamento che dimostrano come gli hacker stiano abusando della falla di sicurezza per dirottare le sessioni amministrative e compromettere le reti aziendali.
La vulnerabilità, identificata come CVE-2026-3055 , vanta un punteggio CVSSv4 molto alto, pari a 9.3. nella scala CVSS. I ricercatori descrivono questo bug come la versione moderna dei famigerati attacchi “CitrixBleed“, exploit che hanno devastato diverse organizzazioni negli anni passati.
Le versioni interessate includono:
Il problema riscontrato, è un errore di lettura fuori dai limiti (Out-of-Bounds, OOB), il quale viene causato da una convalida insufficiente dell’input. Sebbene il bollettino di sicurezza iniziale di Citrix del 23 marzo lo mostri come un problema singolo, delle successive indagini forensi condotte da watchTowr hanno suggerito che la realtà è più complessa.
Secondo i ricercatori di sicurezza, la vulnerabilità CVE-2026-3055 riguarda almeno due distinti bug di lettura eccessiva della memoria, dove si parla nello specifico di:
Gli aggressori, inviando richieste appositamente forgiate a questi endpoint, possono indurre l’appliance a “spremere” informazioni sensibili dalla memoria. In particolare (e molto grave) gli ID delle sessioni amministrative autenticate. Con questi ID a disposizione, i criminali informatici possono assumere il controllo completo dell’appliance NetScaler.
I ricercatori hanno condiviso uno script Python per aiutare i difensori ad identificare gli host vulnerabili nei loro ambienti. La vulnerabilità ha riguardato gli apparati configurati come provider di identità SAML (IDP). Da notare che ciò richiede un intervento solo da parte degli amministratori che gestiscono gli apparati on-premise.
Poiché questo tipo di vulnerabilità rappresenta un dei cosiddetti “vettori di attacco frequenti” per i malintenzionati e comporta gravi “rischi significativi per le istituzioni federali“, la CISA ha fissato come al solito una scadenza molto rigorosa.
Infatti, le agenzie federali civili del ramo esecutivo devono risolvere la vulnerabilità CVE-2026-3055 entro il 2 aprile 2026. E le aziende private? Anche quelle, se vogliono essere al sicuro devono procedere immediatamente.
