Citrix parchea seis fallos en NetScaler ADC y Gateway

Citrix ha publicado actualizaciones que corrigen seis vulnerabilidades en NetScaler ADC y NetScaler Gateway, dispositivos perimetrales que son un objetivo recurrente de atacantes por su exposición directa a Internet. Tres de los fallos son de severidad alta.

El problema

Las seis CVE corregidas son:

  • CVE-2026-8451 (CVSS 8.8): lectura de memoria fuera de límites en el procesamiento SAML, que puede filtrar información sensible del dispositivo.
  • CVE-2026-8452 (CVSS 8.8): denegación de servicio.
  • CVE-2026-8655 (CVSS 8.8): denegación de servicio.
  • CVE-2026-10816 (CVSS 7.7): lectura de ficheros arbitrarios sin autenticación.
  • CVE-2026-10817 (CVSS 6.9): lectura excesiva de memoria en el manejo de TCP.
  • CVE-2026-13474 (CVSS 8.7): denegación de servicio vía HTTP/2.

Los dispositivos NetScaler han sido históricamente un vector de entrada crítico (recuérdese "CitrixBleed"). Un atacante que combine la lectura de memoria SAML o de ficheros sin autenticar con la exposición del gateway puede obtener información para un acceso posterior, mientras que los fallos de DoS pueden dejar sin servicio el acceso remoto de toda una organización.

Recomendaciones inmediatas

  • Actualiza ya a las versiones corregidas: 14.1-72.61 o posterior y 13.1-63.18 o posterior (y las ramas FIPS/NDcPP equivalentes).
  • Como mitigación temporal para CVE-2026-13474, limita el timeout de ventana pequeña HTTP/2: set ns httpProfile <perfil> -http2SmallWndTimeout 30.
  • Revisa los logs del appliance en busca de accesos anómalos a endpoints SAML o de lectura de ficheros.
  • Restringe la exposición de la interfaz de gestión y aplica el principio de mínima exposición.

¿Estás cubierto en DefensOps?

  • T1190 – Explotación de aplicación expuesta: DefensOps correlaciona intentos de explotación contra dispositivos perimetrales NetScaler/ADC con la inteligencia de amenazas nativa (IOCs y firmas de explotación). Disponible desde Essential.
  • T1499 – Denegación de servicio de endpoint: la telemetría de red detecta patrones de DoS HTTP/2 y agotamiento de recursos contra el gateway. Plan Advanced.
  • T1005 – Datos del sistema local: se alertan lecturas anómalas de ficheros y fugas de memoria que delatan explotación de CVE-2026-10816/8451.

Recuerda que el parcheo del appliance corresponde al cliente; DefensOps aporta la detección de explotación en curso mientras despliegas la actualización.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News · Citrix Security Bulletins