Vulnerabilidades críticas en NetScaler ADC e Gateway con risco de execución remota de código

citrix
Empresas
Administración Pública
Vulnerabilidades
Nivel de alerta
Crítico

Identificáronse vulnerabilidades críticas que afectan a NetScaler ADC e NetScaler Gateway, solucións empregadas de forma extensa como controladores de entrega de aplicacións e pasarelas de acceso remoto en contornas corporativas.

A vulnerabilidade principal, CVE-2026-3055 (CVSS 9,3), permite a execución remota de código sen autenticación debido a unha validación insuficiente de entradas. Ademais, CVE-2026-4368 (alta) pode provocar erros na xestión de sesións, facilitando accesos indebidos.

Estas vulnerabilidades afectan a múltiples versións, especialmente en despregamentos xestionados directamente polas organizacións. Os sistemas expostos como VPN, gateways ou provedores de identidade son especialmente vulnerables.

Aínda que non se confirmou explotación activa, o vector de ataque e o impacto potencial elevan significativamente o risco.

Impacto

  • Execución remota de código sen autenticación
  • Compromiso total do sistema
  • Acceso a redes internas a través de VPN
  • Interceptación ou manipulación de sesións
  • Movemento lateral dentro da infraestrutura


Cadea de ataque (escenario probable)

  1. Identificación de sistemas NetScaler expostos a Internet
  2. Envío de solicitudes manipuladas ao servizo vulnerable
  3. Execución de código no dispositivo
  4. Acceso a sesións activas ou credenciais
  5. Movemento lateral cara a sistemas internos
  6. Persistencia ou despregamento de cargas adicionais


Mapeo MITRE ATT&CK

  • T1190 – Exploit Public-Facing Application
  • T1059 – Command and Scripting Interpreter
  • T1078 – Valid Accounts
  • T1021 – Remote Services
  • T1105 – Ingress Tool Transfer
  • T1046 – Network Service Discovery


Requisitos de explotación

  • Sistema NetScaler exposto
  • Configuración específica (SAML, VPN, AAA)
  • Sen necesidade de autenticación
  • Sen interacción do usuario


Medidas recomendadas

  • Aplicar inmediatamente os parches de seguridade publicados
  • Revisar configuracións SAML, VPN e servizos expostos
  • Restringir o acceso externo mediante control de IP ou VPN adicional
  • Monitorizar rexistros en busca de actividade anómala
  • Revisar sesións activas e tokens de autenticación
  • Implementar segmentación de rede e controis de acceso


Avaliación


Trátase dunha vulnerabilidade crítica en infraestruturas perimetrais, cun alto potencial de explotación e impacto en contornas corporativas. A ausencia de autenticación e a exposición habitual destes sistemas incrementan significativamente o risco operativo, polo que se recomenda unha actuación inmediata.

 

Información relacionada

Ligazóns de interese
INCIBE
INCIBE