Citrix emite patches urgentes para vulnerabilidades críticas de leitura de memória no NetScaler ADC e Gateway
TL;DR
Citrix emite patches urgentes para vulnerabilidades críticas de leitura de memória no NetScaler ADC e Gateway
Se você utiliza a infraestrutura NetScaler, pare o que está fazendo e verifique os números da sua versão. A Cloud Software Group acaba de lançar um conjunto de patches urgentes para o NetScaler ADC, Gateway e Console. Estamos falando de uma série de vulnerabilidades — algumas atingindo uma pontuação CVSS de 9.3 — que podem permitir que um invasor sequestre sessões, monitore dados confidenciais ou acesse sua rede sem autorização.
Esta não é uma situação de "atualizar quando possível". Essas falhas atingem o núcleo de como seus dispositivos lidam com memória e autenticação.
O detalhamento: O que está quebrado?
O aviso cobre uma série de bugs, mas dois se destacam pela gravidade. Primeiro, há a CVE-2025-5777, uma vulnerabilidade grave de leitura de memória (memory overread) que afeta o NetScaler Gateway e servidores virtuais AAA. Depois, há a CVE-2026-3055, uma leitura fora dos limites (out-of-bounds read) que atinge sistemas que atuam como um Provedor de Identidade (IdP) SAML.
As discussões na comunidade de segurança estão divididas quanto à exploração ativa. Alguns relatórios sugerem que agentes mal-intencionados já estão testando essas falhas, enquanto outros ainda não observaram campanhas generalizadas. Independentemente disso, com pontuações tão altas, esperar por uma exploração confirmada é uma estratégia perdedora.
Aqui está um resumo rápido das principais vulnerabilidades:
| Vulnerabilidade | Pontuação CVSS | Gravidade | Impacto Principal |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | Crítica | Leitura de memória no Gateway/AAA |
| CVE-2026-3055 | 9.3 | Crítica | Leitura fora dos limites (SAML IdP) |
| CVE-2025-5349 | 8.7 | Alta | Controle de acesso inadequado |
| CVE-2026-4368 | 7.7 | Alta | Confusão de sessão de usuário/condição de corrida |
| CVE-2025-4365 | 6.9 | Média | Leitura arbitrária de arquivos |
Veja a CVE-2026-4368, por exemplo. É uma condição de corrida (race condition) que essencialmente embaralha as sessões dos usuários. Em um ambiente compartilhado ou multilocatário, isso é um pesadelo — você pode acabar com um usuário acessando acidentalmente o contexto de sessão de outro. É o tipo de erro de lógica que transforma um gateway seguro em uma peneira.
O manual de remediação
Corrigir essas falhas não é tão simples quanto clicar em "atualizar" e sair. Como essas falhas lidam com o gerenciamento de memória, você precisa limpar o sistema para garantir que nenhum dado "fantasma" permaneça.
Primeiro, acesse as atualizações de segurança oficiais para o NetScaler para obter a versão específica para o seu ambiente. Você deve procurar por versões como 14.1-66.59, 13.1-62.23 ou 13.1-37.262 (para FIPS/NDcPP).
Depois de aplicar a atualização, você ainda não terminou. Siga estes passos para garantir que a correção seja efetiva:
- Encerre as sessões: Após a atualização, você deve invalidar todas as sessões ativas e persistentes. Se não o fizer, deixará a porta aberta para que sessões potencialmente comprometidas persistam.
- Limpe os buffers: Em pares de HA e nós de cluster, você precisa limpar manualmente os buffers de conexão. Execute
kill icaconnection -allekill pcoipConnection -allpara eliminar quaisquer dados remanescentes potencialmente contaminados. - Proteja o Console: Não apenas atualize e esqueça. Revise sua configuração seguindo as melhores práticas para a segurança do console NetScaler para garantir que suas interfaces de gerenciamento não estejam expostas à internet pública.
O aviso de segurança do CERT-EU deixa claro: estes não são apenas bugs menores. Como atingem o coração da sua autenticação — especificamente servidores SAML IdP e AAA — o risco de roubo de credenciais é muito real.
Fortalecendo seu perímetro
Se você pretendia reforçar a segurança da sua rede, agora é a hora. A aplicação de patches é o primeiro passo, mas é apenas uma parte de uma estratégia de defesa em profundidade. Dê uma olhada nas diretrizes de configuração do NetScaler e comece restringindo o acesso às suas interfaces de gerenciamento. Se não precisa ser acessível pela internet, não deveria estar.
Use o artigo de suporte oficial da Citrix para verificar os requisitos da sua versão. Cada ambiente é diferente, e perder um requisito específico de versão pode deixá-lo exposto.
O cenário de ameaças está mudando rapidamente. No momento, a prioridade é fechar essas lacunas antes que se tornem a próxima grande manchete em um relatório de violação. Não espere por uma janela de manutenção que está a semanas de distância — coloque essas atualizações no topo da sua lista. Fique de olho nos canais oficiais, mantenha seus logs limpos e não presuma que sua configuração atual é "boa o suficiente" até que você a tenha verificado contra esses novos patches.
A segurança é um jogo constante de gato e rato, e agora, o rato tem uma vantagem inicial. Implante esses patches e limpe os buffers de sessão.