Vulnerabilidad en NetScaler ADC y Gateway
Resumen rápido
Se ha descubierto una vulnerabilidad en NetScaler ADC y NetScaler Gateway debido a una validación de entrada insuficiente. Esto puede provocar una lectura excesiva de memoria si se configura como un proveedor de identidad SAML.
Citrix parchea seis fallos en NetScaler ADC y Gateway
Citrix ha publicado actualizaciones que corrigen seis vulnerabilidades en NetScaler ADC y NetScaler Gateway, dispositivos perimetrales que son un objetivo recurrente de atacantes por su exposición directa a Internet. Tres de los fallos son de severidad alta.
El problema
Las seis CVE corregidas son:
- CVE-2026-8451 (CVSS 8.8): lectura de memoria fuera de límites en el procesamiento SAML, que puede filtrar información sensible del dispositivo.
- CVE-2026-8452 (CVSS 8.8): denegación de servicio.
- CVE-2026-8655 (CVSS 8.8): denegación de servicio.
- CVE-2026-10816 (CVSS 7.7): lectura de ficheros arbitrarios sin autenticación.
- CVE-2026-10817 (CVSS 6.9): lectura excesiva de memoria en el manejo de TCP.
- CVE-2026-13474 (CVSS 8.7): denegación de servicio vía HTTP/2.
Los dispositivos NetScaler han sido históricamente un vector de entrada crítico (recuérdese "CitrixBleed"). Un atacante que combine la lectura de memoria SAML o de ficheros sin autenticar con la exposición del gateway puede obtener información para un acceso posterior, mientras que los fallos de DoS pueden dejar sin servicio el acceso remoto de toda una organización.
Recomendaciones inmediatas
- Actualiza ya a las versiones corregidas: 14.1-72.61 o posterior y 13.1-63.18 o posterior (y las ramas FIPS/NDcPP equivalentes).
- Como mitigación temporal para CVE-2026-13474, limita el timeout de ventana pequeña HTTP/2:
set ns httpProfile <perfil> -http2SmallWndTimeout 30. - Revisa los logs del appliance en busca de accesos anómalos a endpoints SAML o de lectura de ficheros.
- Restringe la exposición de la interfaz de gestión y aplica el principio de mínima exposición.
¿Estás cubierto en DefensOps?
- T1190 – Explotación de aplicación expuesta: DefensOps correlaciona intentos de explotación contra dispositivos perimetrales NetScaler/ADC con la inteligencia de amenazas nativa (IOCs y firmas de explotación). Disponible desde Essential.
- T1499 – Denegación de servicio de endpoint: la telemetría de red detecta patrones de DoS HTTP/2 y agotamiento de recursos contra el gateway. Plan Advanced.
- T1005 – Datos del sistema local: se alertan lecturas anómalas de ficheros y fugas de memoria que delatan explotación de CVE-2026-10816/8451.
Recuerda que el parcheo del appliance corresponde al cliente; DefensOps aporta la detección de explotación en curso mientras despliegas la actualización.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News · Citrix Security Bulletins
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1190, T1499, T1005
- Explotación de dispositivo perimetral NetScaler/ADC · T1190 · plan Essential
- Denegación de servicio contra gateway expuesto · T1499 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.