CVE-2026-3055 : NetScaler ADC/Gateway CVSS 9.3 exploité massivement

Les faits

CVE-2026-3055 est une vulnérabilité de lecture hors-limites (out-of-bounds read, memory overread) affectant NetScaler ADC et NetScaler Gateway de Citrix. Divulguée le 24 mars 2026 lors de la publication des correctifs, elle a reçu un score CVSS de 9.3. Le 30 mars 2026, six jours à peine après la divulgation, la CISA l'ajoutait à son catalogue KEV (Known Exploited Vulnerabilities), confirmant une exploitation active déjà en cours dans la nature.

Selon les analyses publiées par Rapid7, Arctic Wolf et Help Net Security, CVE-2026-3055 couvre en réalité au moins deux bugs de memory overread distincts. Le premier affecte le endpoint /saml/login, qui gère l'authentification SAML. Le second touche le endpoint /wsfed/passive, utilisé pour l'authentification passive WS-Federation. Les deux endpoints partagent une logique de validation des entrées défectueuse.

Pour le bug du endpoint /saml/login : un attaquant envoie un payload SAMLRequest spécialement conçu qui omet le champ AssertionConsumerServiceURL. Cette omission déclenche une lecture mémoire hors des limites allouées, et l'appliance NetScaler retourne les données lues dans le cookie HTTP NSC_TASS de la réponse. Ces données peuvent contenir des fragments de sessions utilisateurs actives, des tokens d'authentification ou des credentials temporaires présents en mémoire au moment de la requête.

Pour le second bug affectant /wsfed/passive : le déclencheur est un paramètre wctx présent sans valeur associée (sans le symbole "="). Le code NetScaler vulnérable vérifie uniquement la présence du paramètre sans vérifier la présence de donnée associée avant d'accéder au buffer correspondant. Même résultat : lecture hors-limites dont le contenu est retourné dans la réponse HTTP.

Une condition délimite l'exposition : la vulnérabilité n'affecte que les appliances configurées en tant que SAML Identity Provider (SAML IDP). Les configurations par défaut ne sont pas directement vulnérables. Cependant, l'utilisation de NetScaler en SAML IDP est très répandue dans les entreprises pour la fédération d'identité, le SSO vers des applications SaaS (Microsoft 365, Salesforce, ServiceNow), ou l'authentification des accès VPN et des applications internes sensibles. La base d'appareils potentiellement exposés est donc substantielle à l'échelle mondiale.

Citrix a publié les correctifs le 24 mars 2026. Les versions corrigées sont : NetScaler ADC et Gateway 14.1-66.59, 13.1-62.23, et pour les versions FIPS et NDcPP, la version 13.1-37.262. Un module Metasploit est disponible publiquement, ce qui abaisse considérablement la barrière technique à l'exploitation et explique en partie le caractère massif des attaques observées. Fortinet a confirmé une exploitation à grande échelle. Le NCSC britannique et Cybersecurity Dive ont également rapporté des campagnes de scans et d'exploitation automatisées.

La CISA a requis des agences fédérales FCEB l'application du correctif avant le 20 avril 2026 au titre de sa directive BOD 22-01. Six jours entre divulgation et confirmation d'exploitation active illustrent parfaitement la compression des délais d'exploitation que subissent les défenseurs en 2026. Plusieurs organisations ont signalé des compromissions de sessions à hauts privilèges (comptes admin, comptes de service) dont l'origine remontait à CVE-2026-3055, selon les rapports d'incident analysés par Arctic Wolf.

Le contexte historique est important : CVE-2023-3519 (RCE pré-authentification NetScaler, CVSS 9.8) avait conduit en 2023 à des compromissions massives avec des webshells persistants détectés des mois après les incidents. Les groupes APT étatiques et les opérateurs ransomware ont développé une expertise spécifique sur NetScaler, qui constitue souvent la passerelle unique vers les réseaux d'entreprise. CVE-2026-3055 s'inscrit dans cette série et doit être traité avec le même niveau d'urgence, d'autant plus que l'existence d'un module Metasploit rend l'exploitation accessible à des acteurs moins techniques.

L'exploitation peut conduire à la compromission de sessions d'utilisateurs à hauts privilèges, à l'accès non autorisé aux applications protégées par le SSO, et au mouvement latéral vers les systèmes backend. Le risque est amplifié par la position architecturale de NetScaler : il se positionne souvent en frontal de systèmes critiques (ERP, messagerie, VPN d'administration, applications métier sensibles). Une session admin compromise sur NetScaler peut fournir un accès direct aux systèmes les plus sensibles du SI sans autre obstacle.

Impact et exposition

Les organisations utilisant NetScaler ADC ou Gateway en configuration SAML IDP sans avoir appliqué les correctifs de mars 2026 sont exposées. Dans les configurations où NetScaler agrège les authentifications SSO de centaines d'utilisateurs simultanément, la quantité d'informations sensibles disponibles en mémoire est particulièrement importante. L'exploitation réussie peut permettre la récupération de sessions admin, donnant accès à l'ensemble du périmètre applicatif protégé par le SSO.

Recommandations

• Mettre à jour immédiatement vers NetScaler ADC et Gateway 14.1-66.59 ou 13.1-62.23 (ou 13.1-37.262 pour FIPS/NDcPP)
• Vérifier si vos appliances sont configurées en SAML IDP : console d'administration > Security > AAA-Application Traffic > Authentication > Advanced Policies > SAML Identity Provider
• Analyser les logs pour des requêtes anormales vers /saml/login et /wsfed/passive : SAMLRequest sans AssertionConsumerServiceURL, paramètres wctx sans valeur
• Invalider toutes les sessions actives après le patch et forcer une réauthentification complète
• Déployer des règles WAF ou IDS/IPS spécifiques à ces endpoints pendant la fenêtre avant le patch