Vulnerabilidade crítica 'CitrixBleed' sob exploração ativa exige patch de segurança urgente para gateways NetScaler
TL;DR
Vulnerabilidade crítica 'CitrixBleed' sob exploração ativa exige patch de segurança urgente para gateways NetScaler
Se você utiliza appliances Citrix NetScaler ADC ou Gateway, pare o que está fazendo e verifique seus logs de atualização. Agora mesmo. Estamos diante de uma combinação perigosa de vulnerabilidades — CVE-2026-8451 e a antiga, porém ainda perigosa, CVE-2025-5777 — que estão sendo exploradas ativamente por agentes de ameaças. Estes não são apenas riscos teóricos; estão sendo usados para contornar a autenticação e sequestrar sessões, e a CISA já as incluiu em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
O cerne do problema? Esses appliances estão vazando memória como uma peneira. Atacantes não autenticados estão extraindo dados confidenciais — tokens de sessão, credenciais de MFA, o que você imaginar — diretamente da memória. Eles não precisam de senha. Eles não precisam de convite. Eles só precisam acessar o endpoint correto, e o appliance entrega as chaves do reino.
A anatomia da violação: CVE-2025-5777 e CVE-2026-8451
Vamos falar sobre o "CitrixBleed 2", ou CVE-2025-5777. Esta é perigosa por ser muito simples. Ao enviar uma solicitação POST incompleta e malformada para /p/u/doAuthentication.do, um atacante pode extrair 127 bytes de memória por solicitação. Parece pouco, mas é o suficiente para capturar o SAML StateContext e tokens de sessão ativos. A Splunk Research tem monitorado isso desde meados de junho de 2025, observando que os atacantes estão usando scripts automatizados como o HeadlessChrome para realizar o trabalho pesado em escala.
Depois, há a nova dor de cabeça: CVE-2026-8451. Esta é uma falha de leitura de memória pré-autenticação com uma pontuação CVSS de 8.8. Ela tem como alvo o analisador SAML, manipulando especificamente o cookie NSC_TASS. Como o Tech Insider apontou, a velocidade da armamentalização aqui foi aterrorizante — honeypots detectaram tentativas de exploração dentro de 24 horas após a vulnerabilidade se tornar pública em 30 de junho de 2026.
Impacto e mitigação: O que você precisa fazer
Como essas falhas ocorrem antes da autenticação, suas defesas de perímetro padrão são efetivamente cegas. Você não pode se proteger disso apenas com firewall. Aqui está o resumo da ameaça:
| ID da Vulnerabilidade | Vetor Principal | Impacto |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
Roubo de token de sessão/MFA |
| CVE-2026-8451 | Analisador SAML (NSC_TASS) | Leitura de memória/Vazamento de dados |
Se você quer evitar que sua rede seja invadida, precisa agir rápido. Aqui está sua lista de verificação:
- Aplique os patches: Não espere pelo fim de semana. Implante as atualizações de emergência que a Citrix lançou em 30 de junho de 2026. Não há meio-termo aqui; se você não estiver atualizado, estará exposto.
- Encerre as sessões: Esta é a parte que as pessoas esquecem. Mesmo que você corrija a falha, o atacante pode já estar dentro com um token roubado. Você precisa encerrar globalmente todas as sessões ativas para eliminar qualquer acesso não autorizado.
- Procure por atividades estranhas: Use o guia de monitoramento de rede da Splunk Research para procurar a telemetria específica que esses exploits deixam para trás.
- Audite seus logs: Procure por solicitações POST incompletas ou respostas HTTP que pareçam suspeitamente grandes. Esses são os sinais reveladores de um ataque de leitura de memória em andamento.
O ciclo de escalada
Já vimos esse filme antes. Pesquisadores de segurança alertam desde o início de 2026 que as falhas no NetScaler são um sinal de alerta para ondas massivas de exploração. No momento em que uma Prova de Conceito (PoC) chega ao público, as comportas se abrem. Ataques oportunistas automatizados seguem quase imediatamente, transformando uma "vulnerabilidade crítica" em um "incidente completo" da noite para o dia.
O fato de a CISA ter sinalizado essas vulnerabilidades é um grande alerta tanto para o setor público quanto para o privado. Não existe "solução alternativa" que permita manter as operações sem arriscar sua infraestrutura. Você precisa aplicar o patch. Se não o fizer, estará deixando a porta aberta para que atacantes contornem seu MFA e mantenham uma presença persistente em sua rede.
Se você suspeita que já foi atingido, não entre em pânico — apenas seja metódico. O guia de detecção baseada na web da Splunk Research é um excelente recurso para identificar as estruturas de solicitação HTTP específicas usadas nesses ataques. Insira esses dados em seu SIEM e verifique se algo parece fora do lugar.
No final das contas, esses appliances são a porta de entrada para seus recursos mais sensíveis. Quando a porta tem uma fechadura quebrada, você não coloca apenas uma placa dizendo "por favor, não entre" — você conserta a fechadura. A aplicação de patches é a única maneira de fechar a porta, e a invalidação de sessões é a única maneira de garantir que os intrusos que já estão dentro sejam expulsos. Mantenha-se vigilante, atualizado e não presuma que está seguro até que os patches sejam verificados e as sessões encerradas.