Vulnerabilidade crítica CitrixBleed sob exploração ativa exige patch de segurança urgente para gateways NetScaler
TL;DR
Vulnerabilidade crítica CitrixBleed sob exploração ativa exige patch de segurança urgente para gateways NetScaler
Se você utiliza dispositivos Citrix NetScaler ADC ou Gateway, pare o que está fazendo e verifique seus logs de atualização. Agora mesmo. Estamos diante de um golpe duplo brutal de vulnerabilidades — CVE-2026-8451 e a antiga, porém ainda perigosa, CVE-2025-5777 — que estão sendo exploradas ativamente por agentes de ameaças. Estes não são apenas riscos teóricos; eles estão sendo usados para contornar a autenticação e sequestrar sessões, e a CISA já os incluiu em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
O cerne do problema? Esses dispositivos estão vazando memória como uma peneira. Atacantes não autenticados estão extraindo dados confidenciais — tokens de sessão, credenciais de MFA, o que você imaginar — diretamente da memória. Eles não precisam de senha. Eles não precisam de um convite. Eles só precisam acessar o endpoint correto, e o dispositivo entrega as chaves do reino.
A anatomia da violação: CVE-2025-5777 e CVE-2026-8451
Vamos falar sobre o "CitrixBleed 2", ou CVE-2025-5777. Esta é perigosa porque é muito simples. Ao enviar uma solicitação POST incompleta e malformada para /p/u/doAuthentication.do, um atacante pode extrair 127 bytes de memória por solicitação. Parece pouco, mas é o suficiente para capturar o SAML StateContext e tokens de sessão ativos. O Splunk Research tem monitorado isso desde meados de junho de 2025, observando que os atacantes estão usando scripts automatizados como o HeadlessChrome para realizar o trabalho pesado em escala.
Depois, há a nova dor de cabeça: CVE-2026-8451. Esta é uma falha de leitura de memória pré-autenticação com uma pontuação CVSS de 8.8. Ela tem como alvo o analisador SAML, manipulando especificamente o cookie NSC_TASS. Como o Tech Insider apontou, a velocidade da armamentalização aqui foi aterrorizante — honeypots detectaram tentativas de exploração dentro de 24 horas após a vulnerabilidade se tornar pública em 30 de junho de 2026.
Impacto e mitigação: O que você precisa fazer
Como essas falhas ocorrem antes da autenticação, suas defesas de perímetro padrão são efetivamente cegas. Você não pode se proteger disso apenas com firewall. Aqui está o resumo da ameaça:
| ID da Vulnerabilidade | Vetor Principal | Impacto |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
Roubo de token de sessão/MFA |
| CVE-2026-8451 | Analisador SAML (NSC_TASS) | Leitura de memória/Vazamento de dados |
Se você quer evitar que sua rede seja saqueada, precisa agir rápido. Aqui está sua lista de verificação:
- Atualize, atualize, atualize: Não espere pelo fim de semana. Implante as atualizações de emergência que a Citrix lançou em 30 de junho de 2026. Não há meio-termo aqui; se você não estiver atualizado, estará exposto.
- Encerre as sessões: Esta é a parte que as pessoas esquecem. Mesmo que você corrija a falha, o atacante pode já estar dentro com um token roubado. Você precisa encerrar globalmente todas as sessões ativas para eliminar qualquer acesso não autorizado.
- Procure por atividades estranhas: Use o guia de monitoramento de rede do Splunk Research para procurar a telemetria específica que esses exploits deixam para trás.
- Audite seus logs: Procure por solicitações POST incompletas ou respostas HTTP que pareçam suspeitamente grandes. Esses são os sinais reveladores de um ataque de leitura de memória em andamento.
O ciclo de escalada
Já vimos esse filme antes. Pesquisadores de segurança alertam desde o início de 2026 que as falhas no NetScaler são o sinal de alerta para ondas massivas de exploração. No momento em que uma Prova de Conceito (PoC) chega ao público, as comportas se abrem. Ataques automatizados e oportunistas seguem quase imediatamente, transformando uma "vulnerabilidade crítica" em um "incidente completo" da noite para o dia.
O fato de a CISA ter sinalizado isso é um grande alerta tanto para o setor federal quanto para o privado. Não existe "solução alternativa" que permita manter as operações sem arriscar sua infraestrutura. Você precisa atualizar. Se não o fizer, estará deixando a porta aberta para que atacantes contornem seu MFA e mantenham uma presença persistente em sua rede.
Se você suspeita que já foi atingido, não entre em pânico — apenas seja metódico. A orientação de detecção baseada na web do Splunk Research é um excelente recurso para identificar as estruturas de solicitação HTTP específicas usadas nesses ataques. Insira esses dados em seu SIEM e veja se algo parece fora do lugar.
No final das contas, esses dispositivos são a porta de entrada para seus recursos mais sensíveis. Quando a porta tem uma fechadura quebrada, você não coloca apenas uma placa dizendo "por favor, não entre" — você conserta a fechadura. A atualização é a única maneira de fechar a porta, e a invalidação de sessão é a única maneira de garantir que os intrusos que já estão dentro sejam expulsos. Mantenha-se vigilante, atualizado e não presuma que está seguro até que os patches sejam verificados e as sessões encerradas.