En bref

  • CVE-2026-3055 : out-of-bounds read dans NetScaler ADC et Gateway, CVSS 9.8, exploitation à grande échelle confirmée par Fortinet Threat Intelligence
  • Condition : appliance configurée en SAML Identity Provider (IDP) — condition très répandue en entreprise
  • Versions affectées : ADC NDcPP < 13.1-37.262, Gateway < 13.1-62.23, Gateway 14.x < 14.1-60.58

Les faits

Fortinet Threat Intelligence a confirmé une exploitation à grande échelle de la CVE-2026-3055 ciblant les appliances Citrix NetScaler ADC et NetScaler Gateway exposées sur Internet et configurées en tant que SAML Identity Provider (IDP). La CISA a ajouté cette vulnérabilité à son catalogue KEV (Known Exploited Vulnerabilities) le 30 mars 2026 sur la base d'évidences d'exploitation active, puis a émis un mandat d'urgence décrivant la faille comme permettant de « faire saigner » les sessions administrateur — d'où le surnom informel de « NetScaler Bleed » dans certaines publications de la communauté.

La CVE-2026-3055 est une vulnérabilité de type out-of-bounds read, aussi décrite comme memory overread, dans les appliances Citrix NetScaler ADC et NetScaler Gateway. La condition d'exploitation est spécifique mais extrêmement répandue dans les environnements enterprise : l'appliance doit être configurée en tant que SAML IDP. Dans ce cas, un attaquant non authentifié peut envoyer des requêtes SAML spécialement forgées qui déclenchent une condition de dépassement de mémoire, permettant in fine une exécution de code arbitraire à distance.

La chaîne d'exploitation repose sur une validation insuffisante des inputs dans le traitement des requêtes SAML liées à la configuration IDP. En envoyant des messages SAML malformés, un attaquant force le système à lire au-delà des limites d'un buffer mémoire alloué. Cette lecture hors limites peut exposer des données sensibles résidant en mémoire — notamment des tokens de session administrateur actifs, des clés de configuration SSL/TLS, ou d'autres secrets en mémoire vive — avant de culminer en exécution de code dans certaines conditions d'exploitation avancées confirmées par watchTowr et Rapid7.

Citrix a publié des patches correctives dès mars 2026. Les versions corrigées sont : NetScaler ADC (NDcPP builds) toutes versions antérieures à 13.1-37.262, NetScaler Gateway (branche standard) toutes versions antérieures à 13.1-62.23, et NetScaler Gateway (branche 14.x) toutes versions antérieures à 14.1-60.58. Malgré la disponibilité des patches depuis plusieurs semaines, Fortinet observe que des milliers d'appliances restent exposées sur Internet avec des configurations SAML IDP actives et non corrigées.

L'outil d'analyse Horizon3.ai a publié une analyse détaillée de l'exploitation de CVE-2026-3055, confirmant la faisabilité de l'extraction de tokens de session depuis la mémoire de l'appliance. Ces tokens permettent à l'attaquant de se faire passer pour un administrateur authentifié sans connaître les identifiants, rendant le vecteur particulièrement dangereux pour les appliances utilisées en point d'entrée d'un réseau d'entreprise ou comme proxy d'authentification unique (SSO).

La plateforme Hadrian a documenté la mécanique précise du memory overread : le service NSPPE (NetScaler Packet Processing Engine) traite les requêtes SAML entrantes dans un contexte de faible isolation mémoire. L'absence de validation correcte des pointeurs lors du décodage XML SAML permet à l'attaquant de contrôler partiellement la zone mémoire lue, rendant l'attaque reproductible et fiabilisable dans des conditions opérationnelles réelles. SentinelOne qualifie la vulnérabilité d'information disclosure sévère pouvant évoluer vers un RCE dans les configurations les plus exposées.

Le contexte historique est important : Citrix NetScaler fait face à un historique récent de vulnérabilités critiques exploitées massivement. La CVE-2023-3519 (CitrixBleed, août 2023) avait déjà permis l'extraction de tokens de session non authentifiée et avait conduit à des dizaines de compromissions de grandes organisations mondiales. CVE-2026-3055 s'inscrit dans le même schéma — même vecteur d'accès (SAML/SSO), même surface d'attaque (mémoire du processus réseau), même impact opérationnel (accès administrateur sans authentification). Les équipes SecOps ayant géré CitrixBleed reconnaîtront immédiatement la gravité de la situation.

Au 3 juin 2026, SecurityOnline et Threat-Modeling.com rapportent que Fortinet a observé des milliers de tentatives d'exploitation quotidiennes sur des appliances NetScaler non patchées. Les campagnes détectées incluent des scans massifs à la recherche de configurations SAML IDP actives, suivis d'exploitations automatisées pour extraire les tokens de session. Les attaquants utilisent ces tokens pour s'authentifier en tant qu'administrateurs sur les portails de management NetScaler, prenant le contrôle de l'appliance et accédant aux réseaux derrière.

Impact et exposition

Les appliances NetScaler ADC et Gateway configurées en SAML IDP sont des composants d'infrastructure critiques dans les architectures d'entreprise modernes. Elles servent généralement de point d'authentification centralisé pour les applications métier, les VPN SSL, les portails de collaboration (Office 365, Salesforce, SAP), et les accès distants. Leur compromission donne à l'attaquant un accès authentifié à l'ensemble des applications protégées derrière l'appliance, potentiellement à l'intégralité des utilisateurs du SI.

L'exposition est aggravée par le fait que les appliances NetScaler sont par construction exposées sur Internet pour servir leurs fonctions d'accès distant. Elles sont donc directement accessibles depuis n'importe quelle source externe, sans barrière réseau préalable. Shodan et Censys indexent plusieurs dizaines de milliers d'appliances NetScaler exposées sur Internet au niveau mondial, dont une fraction significative en configuration SAML IDP non patchée selon les estimations de Fortinet.

Recommandations

  • Mettre à jour immédiatement : passer en version ADC >= 13.1-37.262, Gateway >= 13.1-62.23 (branche 13.x) ou >= 14.1-60.58 (branche 14.x). Si une mise à jour immédiate est impossible, désactiver temporairement la configuration SAML IDP.
  • Invalider toutes les sessions actives : après le patch, invalider l'ensemble des sessions administrateur et utilisateur actives sur l'appliance. Les tokens potentiellement extraits avant le patch restent valides jusqu'à expiration ou invalidation explicite.
  • Auditer les logs d'accès SAML : rechercher des patterns anormaux dans les logs NetScaler (accès sur les endpoints /cgi/samlauth, /cgi/login) provenant d'adresses IP inconnues ou non légitimes, notamment dans la période mars-juin 2026.
  • Restreindre l'accès au management : isoler l'interface d'administration NetScaler (port 80/443 management) sur un réseau d'administration dédié, distinct des interfaces de service exposées sur Internet.

Alerte critique

CVE-2026-3055 est activement exploitée à grande échelle. Toute appliance NetScaler ADC/Gateway configurée en SAML IDP et non patchée doit être considérée comme potentiellement compromise. L'extraction silencieuse de tokens de session — sans laisser de traces dans les logs applicatifs standards — rend la détection post-exploitation particulièrement difficile. Invalider les sessions et auditer les accès immédiatement après le patch.

Nous utilisons NetScaler comme VPN SSL mais pas en SAML IDP — sommes-nous concernés ?

Le vecteur principal documenté pour CVE-2026-3055 requiert la configuration SAML IDP active. Si votre appliance est utilisée uniquement en mode VPN SSL ou ICA Proxy sans configuration SAML IDP, le risque direct est fortement réduit. Cependant, Citrix recommande de patcher toutes les appliances quel que soit le mode de configuration, d'autres vecteurs secondaires pouvant exister. Vérifiez dans la console NetScaler (Traffic Management > Authentication > SAML) si des serveurs SAML IDP sont configurés.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit