La explotación en la naturaleza de una vulnerabilidad crítica en Citrix NetScaler ha comenzado menos de una semana después de su divulgación. Investigadores advierten que los atacantes ya están accediendo a sistemas vulnerables para extraer datos confidenciales. Citrix lanzó correcciones para CVE-2026-3055 la semana pasada, pero la respuesta de seguridad pública indica que el riesgo es inminente.
La falla identificada internamente tiene una calificación de 9.3 y se describe como una lectura fuera de límites en la memoria. Aunque la descripción técnica parece seca, el término lectura de memoria activó alarmas en la comunidad de seguridad. Los administradores de sistemas deben entender que este problema permite el acceso a tokens de sesión y credenciales almacenadas en el buffer.
Análisis de la Amenaza
El equipo de inteligencia de amenazas watchTowr observó tráfico de reconocimiento en instalaciones vulnerables antes del fin de semana. Según sus datos, para el domingo ya tenían evidencia de explotación activa derivada de infraestructuras vinculadas a actores maliciosos. El tiempo de respuesta para explotar esta vulnerabilidad ha sido impresionante para una falla identificada internamente por el proveedor.
"Antes de continuar, necesitamos decir algo claramente: la explotación en la naturaleza ha comenzado," escribieron los investigadores.
No se requiere gran complejidad técnica para explotar el problema, ya que un simple parámetro mal formateado desencadena la lectura de memoria. En lugar de devolver un error, el sistema NetScaler devuelve contenido aleatorio de la memoria, incluyendo datos residuales valiosos. Esto facilita el trabajo de los atacantes que buscan información sensible sin necesidad de herramientas sofisticadas.
Existe un detalle adicional preocupante según los investigadores, ya que CVE-2026-3055 podría no ser un solo bug sino múltiples fugas de memoria relacionadas. Durante su análisis, reportaron incluso otro problema similar que podría estar oculto bajo la misma identificación de vulnerabilidad. Esto complica la tarea de los equipos de seguridad que intentan entender la magnitud total del riesgo.
Contexto Histórico y Riesgos
La falla parece continuar el tema de problemas de manejo de memoria en dispositivos de borde que protegen sistemas de autenticación. Investigadores notan que se parece a CitrixBleed2, lo cual es preocupante por la recurrencia de este tipo de errores. El Centro Nacional de Ciberseguridad del Reino Unido ha instado a las organizaciones a parchear estas instalaciones expuestas.
Estos dispositivos suelen situarse en rutas críticas de identidad, lo que los convierte en objetivos particularmente atractivos una vez comienza la explotación. Los productos de Citrix vendidos bajo licencias antiguas también podrían volverse inestables si los usuarios no actualizan su software. La exposición general en infraestructura corporativa aumenta significativamente la superficie de ataque para amenazas avanzadas.
Citrix aún no ha confirmado públicamente la explotación activa, y su advisory no se ha actualizado desde el 27 de marzo. Esto deja a los administradores en la posición familiar de correr para parchear mientras los atacantes prueban cuánto datos pueden obtener. Si la historia reciente es guía, la respuesta podría ser más de lo que cualquiera desearía.
