Vulnerabilidades críticas en NetScaler ADC y Gateway con riesgo de ejecución remota de código

citrix
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Crítico

Se han identificado vulnerabilidades críticas que afectan a NetScaler ADC y NetScaler Gateway, soluciones ampliamente utilizadas como controladores de entrega de aplicaciones y pasarelas de acceso remoto en entornos corporativos.

La vulnerabilidad principal, CVE-2026-3055 (CVSS 9,3), permite la ejecución remota de código sin autenticación debido a una validación insuficiente de entradas. Adicionalmente, CVE-2026-4368 (alta) puede provocar errores en la gestión de sesiones, facilitando accesos indebidos.

Estas vulnerabilidades afectan a múltiples versiones, especialmente en despliegues gestionados directamente por las organizaciones. Los sistemas expuestos como VPN, gateways o proveedores de identidad son especialmente vulnerables.

Aunque no se ha confirmado explotación activa, el vector de ataque y el impacto potencial elevan significativamente el riesgo.

Impacto

  • Ejecución remota de código sin autenticación
  • Compromiso total del sistema
  • Acceso a redes internas a través de VPN
  • Interceptación o manipulación de sesiones
  • Movimiento lateral dentro de la infraestructura


Cadena de ataque (escenario probable)

  1. Identificación de sistemas NetScaler expuestos a Internet
  2. Envío de solicitudes manipuladas al servicio vulnerable
  3. Ejecución de código en el dispositivo
  4. Acceso a sesiones activas o credenciales
  5. Movimiento lateral hacia sistemas internos
  6. Persistencia o despliegue de cargas adicionales


Mapeo MITRE ATT&CK

  • T1190 - Exploit Public-Facing Application
  • T1059 - Command and Scripting Interpreter
  • T1078 - Valid Accounts
  • T1021 - Remote Services
  • T1105 - Ingress Tool Transfer
  • T1046 - Network Service Discovery


Requisitos de explotación

  • Sistema NetScaler expuesto
  • Configuración específica (SAML, VPN, AAA)
  • Sin necesidad de autenticación
  • Sin interacción del usuario


Medidas recomendadas

  • Aplicar inmediatamente los parches de seguridad publicados
  • Revisar configuraciones SAML, VPN y servicios expuestos
  • Restringir el acceso externo mediante control de IP o VPN adicional
  • Monitorizar registros en busca de actividad anómala
  • Revisar sesiones activas y tokens de autenticación
  • Implementar segmentación de red y controles de acceso


Evaluación

Se trata de una vulnerabilidad crítica en infraestructuras perimetrales, con alto potencial de explotación y fuerte impacto en entornos corporativos. La ausencia de autenticación y la exposición habitual de estos sistemas incrementan significativamente el riesgo operativo, por lo que se recomienda actuación inmediata.

 

Información relacionada

Enlaces de interés
INCIBE
INCIBE