La CVE-2026-3055 permet une fuite mémoire critique sur Citrix NetScaler ADC et Gateway configurés en SAML IDP. Exploitation active confirmée, module Metasploit disponible.
En bref
- La CVE-2026-3055 affecte Citrix NetScaler ADC et Gateway configurés en SAML IDP — CVSS 9.3
- Exploitation active confirmée depuis le 27 mars 2026, ajoutée au catalogue CISA KEV le 30 mars
- Appliquer le correctif Citrix immédiatement ou désactiver la configuration SAML IDP
Les faits
Le 23 mars 2026, Citrix a publié un avis de sécurité concernant la CVE-2026-3055, une vulnérabilité critique de type out-of-bounds read affectant NetScaler ADC et NetScaler Gateway. Avec un score CVSS de 9.3, cette faille permet à un attaquant non authentifié de provoquer une fuite de données sensibles depuis la mémoire de l'appliance. Seules les configurations en SAML Identity Provider sont vulnérables — les configurations par défaut ne sont pas affectées.
L'exploitation active a été confirmée par les chercheurs de watchTowr dès le 27 mars 2026, à partir de données collectées sur leur réseau de honeypots. Le CISA a ajouté la CVE à son catalogue KEV le 30 mars. Un module Metasploit est déjà disponible, ce qui abaisse considérablement la barrière technique pour les attaquants. Selon les analyses de Defused Cyber, les attaquants sondent d'abord l'endpoint /cgi/GetAuthMethods pour identifier les instances configurées en SAML IDP avant de lancer l'exploit.
Impact et exposition
Toute organisation utilisant NetScaler ADC ou NetScaler Gateway en tant que SAML Identity Provider est potentiellement exposée. L'attaque s'effectue via l'envoi de requêtes SAMLRequest spécialement forgées sur l'endpoint /saml/login, en omettant le champ AssertionConsumerServiceURL. Cette manipulation déclenche une lecture hors limites qui fait fuiter le contenu de la mémoire de l'appliance via le cookie NSC_TASS. Les données exposées peuvent inclure des jetons de session, des identifiants ou des fragments de configuration. Les secteurs les plus exposés sont la santé, la finance et les administrations publiques, qui utilisent massivement SAML pour la fédération d'identité.
Recommandations
- Appliquer immédiatement le correctif publié par Citrix pour NetScaler ADC et Gateway
- Si le patch ne peut pas être déployé dans l'immédiat, désactiver la configuration SAML IDP ou restreindre l'accès au endpoint /saml/login par ACL réseau
- Rechercher dans les logs des requêtes anormales sur /cgi/GetAuthMethods et /saml/login sans AssertionConsumerServiceURL — indicateur de reconnaissance ou d'exploitation
- Invalider tous les jetons de session actifs après application du correctif pour limiter le risque de réutilisation de données déjà exfiltrées
Alerte critique
Un module Metasploit public et une exploitation active confirmée par le CISA rendent cette vulnérabilité immédiatement dangereuse. Les organisations exposées qui n'ont pas encore appliqué le correctif doivent considérer leurs appliances comme potentiellement compromises et lancer une investigation.
Comment savoir si mon NetScaler est configuré en SAML IDP ?
Vérifiez votre configuration NetScaler pour la présence d'une action SAML IDP (commande add authentication samlIdPProfile). Vous pouvez aussi interroger l'endpoint /cgi/GetAuthMethods : s'il retourne une méthode SAML, votre instance est potentiellement vulnérable. Les configurations utilisant uniquement LDAP, RADIUS ou certificat client ne sont pas affectées par cette CVE.
Quelles données peuvent être exfiltrées via cette faille ?
La lecture hors limites en mémoire peut exposer des fragments variés : jetons de session actifs, identifiants en cache, morceaux de configuration TLS, voire des données applicatives transitant par l'appliance. Le contenu exact dépend de l'état de la mémoire au moment de l'exploitation, ce qui rend l'impact difficilement prévisible mais potentiellement sévère.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
VMware Aria Operations : RCE critique exploitée activement
CVE-2026-22719 : injection de commandes critique dans VMware Aria Operations exploitée activement. CISA KEV, trois failles chaînables corrigées par Broadcom.
Cisco SD-WAN : un zero-day CVSS 10 exploité depuis trois ans
CVE-2026-20127 : faille CVSS 10.0 dans Cisco SD-WAN exploitée par le groupe APT UAT-8616 depuis 2023. Contournement d'authentification permettant un accès administrateur complet.
Databricks lance Lakewatch, un SIEM dopé à l'IA générative
Databricks lance Lakewatch, un SIEM alimenté par des agents IA Claude d'Anthropic, après l'acquisition d'Antimatter et SiftD.ai.
Commentaires (1)
Laisser un commentaire