En bref

  • CVE-2026-3055 (CVSS 9.3 CRITIQUE) : lecture hors limites de la mémoire (out-of-bounds read) dans Citrix NetScaler ADC et NetScaler Gateway configurés en mode SAML IDP, permettant la divulgation de données sensibles et des conditions de déni de service sans authentification.
  • Systèmes affectés : NetScaler ADC et Gateway 14.1 avant 14.1-66.59, 13.1 avant 13.1-62.23, et NetScaler ADC 13.1-FIPS/NDcPP avant 13.1-37.262. Uniquement les instances gérées par les clients (non Cloud Citrix).
  • Action urgente : mettre à jour vers 14.1-66.59 ou 13.1-62.23 immédiatement. Exploitation massive confirmée par Fortinet. Inscrite au catalogue KEV de la CISA le 30 mars 2026.

Les faits

CVE-2026-3055 est une vulnérabilité de lecture hors limites de mémoire (out-of-bounds read) affectant Citrix NetScaler ADC (Application Delivery Controller) et NetScaler Gateway lorsqu'ils sont configurés en tant que SAML Identity Provider (IDP). Publiée avec un score CVSS 3.1 de 9.3 (CRITIQUE), cette faille permet à un attaquant non authentifié d'exécuter des requêtes spécialement forgées contre le point d'entrée SAML de l'appliance, provoquant une lecture de zones mémoire situées au-delà des tampons légitimes. Le vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H confirme une exploitabilité réseau directe sans authentification ni interaction utilisateur, avec impact élevé sur la confidentialité et la disponibilité.

La cause racine de CVE-2026-3055 réside dans une validation insuffisante des entrées utilisateur lors du traitement des requêtes d'authentification SAML. Lorsque NetScaler ADC ou NetScaler Gateway traite une requête SAML malformée en mode IDP, le code sous-jacent effectue une lecture de données sans vérifier correctement les limites du tampon alloué. Ce comportement de memory overread peut entraîner deux types d'impact : d'une part, la divulgation de données sensibles résidant dans les zones mémoire adjacentes au tampon légitime (dont potentiellement des tokens de session, des clés privées ou des informations d'identification en transit) ; d'autre part, un crash de l'appliance menant à un déni de service. Rapid7 a publié une analyse technique confirmant la nature de l'out-of-bounds read et les conditions d'exploitation dans son blog de threat intelligence.

La découverte et la divulgation de CVE-2026-3055 ont suivi un calendrier de coordinated disclosure. La vulnérabilité a été identifiée par des chercheurs en sécurité et signalée à Citrix, qui a publié les correctifs avant la divulgation publique. Help Net Security a rapporté le 24 mars 2026 les premières informations sur CVE-2026-3055 et les risques d'exploitation imminente, avant même que des exploits publics ne soient disponibles. La firme de sécurité watchTowr a publié une analyse technique de type Rapid Reaction, détaillant les conditions précises d'exploitation et confirmant la sévérité de la faille. Dès les premiers jours suivant la divulgation, des acteurs malveillants ont commencé à sonder les instances NetScaler accessibles sur Internet, comme rapporté par CybersecurityNews.

L'exploitation à grande échelle a été officiellement confirmée le 30 mars 2026 par la CISA (Cybersecurity and Infrastructure Security Agency) qui a ajouté CVE-2026-3055 à son catalogue des Vulnérabilités Connues Exploitées (KEV — Known Exploited Vulnerabilities). Cette décision impose aux agences fédérales américaines un délai de remédiation obligatoire et confirme l'existence d'une exploitation active documentée dans la nature. Le groupe de threat intelligence de Fortinet a simultanement publié un rapport confirmant des campagnes d'exploitation à grande échelle visant spécifiquement les appliances NetScaler exposées sur Internet et configurées en mode SAML IDP.

Les versions vulnérables sont précisément : NetScaler ADC et Gateway 14.1 antérieures à la version 14.1-66.59 ; NetScaler ADC et Gateway 13.1 antérieures à la version 13.1-62.23 ; et pour les variantes spécialisées, NetScaler ADC 13.1-FIPS et NetScaler ADC 13.1-NDcPP antérieures à la version 13.1-37.262. Il est important de noter que seules les instances gérées par les clients sont exposées. Les instances NetScaler cloud gérées directement par Citrix sont protégées et ne nécessitent pas d'action côté client. La condition d'exploitation est que l'appliance soit configurée en mode SAML IDP, configuration courante dans les déploiements SSO d'entreprise pour la federation d'identités.

Le mode SAML IDP de NetScaler est largement déployé dans les environnements d'entreprise pour centraliser l'authentification SSO des applications internes et cloud. Cette configuration expose directement le point d'entrée SAML aux utilisateurs, voire à Internet dans les architectures de teletravail. Selon SentinelOne, qui a documenté CVE-2026-3055 dans sa base de données de vulnérabilités, l'impact sur la confidentialité est particulièrement préoccupant car les zones mémoire potentiellement exposées peuvent contenir des artefacts d'authentification actifs, notamment des tokens SAML, des assertions partiellement traitées ou des clés cryptographiques résidentes en mémoire. D'après NVD/NIST, la CVE a reçu sa notation officielle sous le score CVSS 3.1 de 9.3 avec une complexité d'attaque basse (AC:L).

Sur le plan des tactiques d'attaque observées par Fortinet, les acteurs malveillants ont développé des outils automatisés de scan et d'exploitation qui identifient les appliances NetScaler exposées sur Internet via fingerprinting de version et tests de la reponse du point d'entrée SAML. Cette industrialisation de l'exploitation, confirmée par les rapports Fortinet et Hadrian, signifie que toute instance vulnérable accessible sur Internet est susceptible d'avoir déjà été sondée ou exploitée. La firme watchTowr a signalé que l'exploitation peut permettre à un attaquant d'exfiltrer des informations de configuration sensibles facilitant des attaques ultérieures plus profondes contre l'infrastructure d'authentification de l'organisation.

Impact et exposition

NetScaler ADC et NetScaler Gateway sont des composants d'infrastructure critique déployés par des milliers d'organisations mondiales, notamment dans la finance, la santé, les télécommunications et les administrations publiques. Ils jouent le rôle de point d'entrée unique pour l'accès aux applications d'entreprise, et dans les configurations SAML IDP concernées, de véritable gardien de l'authentification SSO. Une compromission via CVE-2026-3055 peut permettre l'exfiltration de tokens d'authentification valides, ouvrant la voie à des accès non autorisés aux applications d'entreprise sans nécessiter les identifiants des victimes.

Les organisations les plus exposées sont celles ayant déployé NetScaler ADC ou Gateway en mode SAML IDP pour des scénarios de teletravail, d'accès VPN SSL, ou de fédération d'identités avec des applications SaaS et cloud. Dans ces configurations, l'appliance est fréquemment exposée directement sur Internet. D'après les analyses Rapid7, les versions 13.1 et 14.1 représentent les déploiements les plus courants et sont donc celles pour lesquelles le risque est le plus élevé. Les entreprises utilisant NetScaler exclusivement pour du load balancing ou de l'accélération applicative sans mode SAML IDP ne sont pas concernées par ce vecteur d'attaque spécifique.

La combinaison de l'ajout au catalogue CISA KEV, de la confirmation d'exploitation massive par Fortinet, et de la disponibilité d'analyses techniques publiques crée un contexte de risque extrêmement élevé. Les organisations n'ayant pas encore appliqué les correctifs s'exposent à la divulgation de données sensibles, mais également à un potentiel déni de service de leur infrastructure d'authentification, pouvant paralyser l'accès de l'ensemble des utilisateurs aux applications d'entreprise. La surface d'attaque inclut également les systèmes de monitoring exposés de l'appliance si ces interfaces partagent des ressources mémoire avec le processus SAML vulnérable.

Recommandations immédiates

  • Mettre à jour immédiatement vers NetScaler ADC/Gateway 14.1-66.59, 13.1-62.23, ou 13.1-37.262 pour les variantes FIPS/NDcPP — advisory : Citrix Security Advisory CTX2026 (portail Citrix Support)
  • Si la mise à jour immédiate est impossible, désactiver temporairement la configuration SAML IDP ou restreindre l'accès au point d'entrée SAML aux seules adresses IP légitimes via des règles de pare-feu
  • Auditer les logs d'accès SAML pour détecter des requêtes malformées ou des tentatives d'exploitation (rechercher des réponses d'erreur inhabituelles dans les logs nslog)
  • Révoquer et renouveler les certificats SAML et les secrets partagés si une exploitation est suspectée, ces éléments pouvant avoir été exposés via la lecture mémoire
  • Scanner les instances NetScaler exposées avec des outils comme Nuclei (template CVE-2026-3055) pour identifier les systèmes encore vulnérables dans votre parc
  • Vérifier le statut KEV de vos systèmes et appliquer les délais de remédiation CISA si applicable à votre organisation

⚠️ Urgence

CVE-2026-3055 est inscrite au catalogue CISA KEV depuis le 30 mars 2026. Exploitation massive confirmée par Fortinet sur les appliances NetScaler en mode SAML IDP. Les organisations n'ayant pas encore patché leur infrastructure NetScaler doivent considérer que leurs systèmes ont potentiellement déjà été sondés ou exploités. Patch immédiat obligatoire ; en l'absence de patch, isoler le point d'entrée SAML et auditer les logs d'accès.

Comment savoir si je suis vulnérable ?

Connectez-vous à l'interface de gestion de votre appliance NetScaler et vérifiez la version via la commande CLI show version ou via System > System Information dans l'interface graphique. Si la version est antérieure à 14.1-66.59 (branche 14.1), 13.1-62.23 (branche 13.1) ou 13.1-37.262 (FIPS/NDcPP), votre système est vulnérable. Vérifiez également si le mode SAML IDP est actif via : show authentication samlIdPProfile — si des profils sont listés, le vecteur d'attaque est actif.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit