CVE-2026-3055 NetScaler SAML : exploitation massive Fortinet

Les faits

CVE-2026-3055 est une vulnérabilité de type out-of-bounds read (lecture mémoire hors limites) affectant Citrix NetScaler ADC (Application Delivery Controller) et Citrix NetScaler Gateway lorsque ces appliances sont configurées en tant que SAML Identity Provider (SAML IDP). Divulguée le 24 mars 2026, ajoutée au catalogue KEV de la CISA le 30 mars 2026, et confirmée en exploitation massive par l'équipe de threat intelligence de Fortinet en juin 2026, cette faille constitue une menace critique pour toutes les organisations utilisant NetScaler comme point d'accès SSO. Le CVSS est de 9.3 (Critical) selon les analyses de Rapid7 et Help Net Security.

La faille réside dans le traitement des requêtes SAML au niveau de l'endpoint /wsfed/passive (WS-Federation passive requestor profile). Lorsqu'une requête SAML malformée est envoyée à cet endpoint, le processus NetScaler effectue une lecture mémoire au-delà des limites du tampon alloué. Cette condition permet à un attaquant distant non authentifié d'extraire du contenu de la mémoire du processus, pouvant inclure des identifiants de session administratives, des cookies d'authentification, des clés de session TLS et d'autres données sensibles résidant en mémoire au moment de l'exploitation. D'après Rapid7, la nature de la lecture mémoire et la position du processus vulnérable permettent d'extraire des données conduisant à la compromission complète de l'appliance par session hijacking.

Le vecteur d'attaque est réseau (AV:N), la complexité est faible (AC:L), aucun privilège préalable n'est requis (PR:N), et aucune interaction utilisateur n'est nécessaire (UI:N). L'endpoint /wsfed/passive est exposé par défaut sur les ports HTTPS de l'appliance (port 443) dès lors que la fonctionnalité SAML IDP est activée. Cette configuration est courante dans les entreprises utilisant NetScaler Gateway comme point d'accès SSO (Single Sign-On) pour leurs applications internes via Azure AD, Okta, Ping Identity ou un autre fournisseur d'identité SAML. Les appliances sans configuration SAML IDP active ne sont pas concernées par CVE-2026-3055.

Un PoC (Proof of Concept) fonctionnel a été publié sur GitHub par le chercheur fevar54 sous le nom CVE-2026-3055-Citrix-NetScaler-Memory-Overread-PoC. Ce PoC automatise l'envoi de requêtes WS-Federation malformées à l'endpoint /wsfed/passive?wctx= et l'extraction des données mémoire, incluant la récupération des session IDs administratives et des cookies d'authentification. La disponibilité publique d'un PoC opérationnel abaisse drastiquement le niveau technique requis pour exploiter CVE-2026-3055, élargissant le bassin d'attaquants potentiels au-delà des groupes avancés. Selon Hadrian.io, le PoC a été testé avec succès contre des instances NetScaler non patchées en environnement de laboratoire contrôlé.

L'exploitation observée par Fortinet en juin 2026 cible massivement les instances NetScaler ADC et Gateway exposées sur Internet avec une configuration SAML IDP active. La technique documentée consiste à envoyer des séquences de requêtes à l'endpoint /wsfed/passive?wctx= avec des valeurs de paramètre crafted pour maximiser la lecture mémoire et identifier les offsets contenant des données d'authentification. Les session IDs extraites sont ensuite utilisées pour se connecter à l'interface d'administration NetScaler ou aux ressources protégées par le SSO, contournant intégralement l'authentification multifacteur (MFA) car la session volée est déjà authentifiée. D'après threat-modeling.com (rapport du 2 juin 2026), des milliers d'appliances ont été compromises dans ce cadre opérationnel.

Les versions affectées incluent NetScaler ADC (builds NDcPP) antérieures à 13.1-37.262, NetScaler Gateway (branche standard) antérieures à 13.1-62.23, et NetScaler Gateway (branche 14.x) antérieures à 14.1-60.58. Citrix (Cloud Software Group) a publié les correctifs dans ses Security Bulletins CTX-SB-2026-03. La chronologie est préoccupante : entre la divulgation initiale (24 mars), l'ajout KEV CISA (30 mars), la publication du PoC sur GitHub, et la confirmation de l'exploitation massive en juin 2026, plus de deux mois se sont écoulés. Pour les équipes de sécurité qui n'ont pas réagi aux alertes successives, cette exploitation massive concrétise des avertissements ignorés. Qualys et CyCognito ont aussi documenté CVE-2026-4368, une faille associée du même cycle de correctifs.

NetScaler ADC et Gateway sont parmi les solutions de delivery d'applications et d'accès distant les plus déployées en environnement enterprise. Dans de nombreuses architectures, ces appliances occupent une position de "gardien" unique pour l'accès VPN, le SSO, le load balancing applicatif et la gestion des sessions d'authentification. La compromission d'un NetScaler via CVE-2026-3055 peut conduire à une attaque en "Golden Ticket SSO" : l'attaquant usurpe des sessions SSO actives pour se connecter comme n'importe quel utilisateur de l'organisation, y compris des administrateurs, sans connaître leurs identifiants ni contourner le MFA de manière visible. Selon cybersecuritynews.com, des attaquants testaient activement les instances NetScaler avant même que la confirmation de l'exploitation massive soit publiée par Fortinet.

La détection de l'exploitation est rendue complexe par la nature des requêtes malveillantes : elles imitent des requêtes SAML légitimes sur l'endpoint /wsfed/passive, qui reçoit normalement du trafic SSO quotidien. Sans monitoring applicatif spécifique sur les patterns de paramètres wctx anormaux ou des rafales de requêtes non corrélées à des flux d'authentification légitimes, l'attaque peut passer inaperçue dans les logs standard NetScaler. Help Net Security a signalé dès le 24 mars 2026 que des scans précurseurs ciblant l'endpoint /wsfed/passive avaient été observés avant même la publication officielle du PoC, suggérant une découverte indépendante par plusieurs acteurs malveillants.

Impact et exposition

La surface d'exposition est significative : Citrix NetScaler ADC et Gateway sont parmi les solutions de load balancing et d'accès distant les plus déployées dans les environnements enterprise. Les secteurs les plus touchés incluent la santé (hôpitaux utilisant NetScaler Gateway pour l'accès VPN du personnel soignant), la finance, les grandes entreprises industrielles et les administrations publiques. En France, plusieurs Opérateurs d'Importance Vitale (OIV) et Opérateurs de Services Essentiels (OSE) déploient des appliances Citrix NetScaler dans leur infrastructure d'accès distant.

L'exploitation confirmée à grande échelle par Fortinet signifie que des scripts automatisés parcourent activement Internet à la recherche d'instances vulnérables avec SAML IDP actif. La session administrateur compromise via CVE-2026-3055 ne laisse pas de trace d'authentification anormale dans les logs standards si l'IP source de l'attaquant n'est pas dans une liste de surveillance : le token volé est un token légitime, l'accès semble authentifié normalement. Seule une analyse comportementale (heure d'accès inhabituelle, géolocalisation IP incohérente, actions administratives suspectes) permet de détecter une compromission de ce type.

Pour les organisations utilisant NetScaler Gateway comme unique point d'accès distant (Remote Access Gateway ou ZTNA Gateway), la compromission donne accès à toutes les ressources protégées par ce SSO : applications internes, outils de collaboration, ERP, consoles d'administration cloud. L'impact peut s'étendre à l'ensemble du périmètre numérique de l'organisation dans un délai très court après la compromission initiale de l'appliance.

Les configurations non vulnérables (appliances sans SAML IDP activé) doivent néanmoins être auditées : une configuration SAML IDP peut avoir été activée lors d'un projet pilote SSO et oubliée, ou être activée par défaut dans certaines builds firmware spécifiques. Il convient de vérifier explicitement la configuration plutôt que de supposer l'absence de SAML IDP pour exclure la vulnérabilité.

Recommandations immédiates

• Mettre à jour immédiatement vers NetScaler ADC/Gateway 13.1-37.262 ou 14.1-60.58 minimum — advisory : Citrix Security Bulletin CTX-SB-2026-03
• Vérifier la configuration SAML IDP : dans NetScaler Console, Authentication > SAML IDP — si activé et appliance non patchée, traiter en urgence critique maximale
• Analyser les logs d'accès NetScaler pour des requêtes vers /wsfed/passive depuis des IPs inconnues, notamment des rafales de requêtes GET avec des paramètres wctx variés non corrélés à des flux SSO légitimes
• Si exploitation suspectée : invalider immédiatement toutes les sessions SSO actives, forcer la ré-authentification de tous les utilisateurs, révoquer et renouveler les certificats SAML
• Indicateurs de compromission : connexions administratives depuis des IPs inhabituelles, sessions admin initiées sans trace d'authentification MFA préalable, changements de configuration non autorisés (nouvelles règles, nouveaux comptes admin)
• Mesure de mitigation immédiate si patch impossible : bloquer l'accès externe à l'endpoint /wsfed/passive via règle WAF ou ACL en attendant la mise à jour