Une faille dans les appliances NetScaler, similaire à CitrixBleed, exploitée

Citrix a livré des correctifs pour NetScaler afin de combler une faille de fuite de mémoire similaire à CitrixBleed et de résoudre des problèmes de débordement de mémoire, de lecture de fichiers et de déni de service. Les cybercriminels ont rapidement tenté d’exploiter la vulnérabilité.

Ces dernières années, les appliances Citrix NetScaler ADC et Gateway ont fait l’objet d’attaques permanentes notamment à travers des campagnes nommées CitrixBleed et menées depuis 2023. Le spectre d’une nouvelle offensive refait surface après la découverte par l’entreprise de sécurité watchTwr de la faille CVE-2026-8451 entraînant une lecture excessive de mémoire. Elle été corrigée par Citrix mais les attaquants l’on rapidement exploitée.

Une exploitation rapide

Dans un rapport, les experts montrent comment des requêtes mal formées et non authentifiées peuvent entraîner la fuite de données de mémoire de processus protégées dans les réponses. Les vulnérabilités CitrixBleed (CVE-2023-4966)CitrixBleed 2 (CVE-2025-5777) et CitrixBleed 3 (CVE-2026-3055) avaient toutes été classées comme critiques, car elles pouvaient être utilisées pour divulguer des jetons de session et d’autres identifiants stockés en mémoire. La dernière vulnérabilité CVE-2026-8451 ne permet de divulguer que des quantités de données bien plus faibles, qui ne semblent pas inclure d’identifiants de session. C’est la raison pour laquelle Citrix lui a attribué un score CVSS de 8,8 (gravité élevée).

Pour que l’exploitation soit possible, l’équipement NetScaler doit être configuré en tant que fournisseur d’identité SAML (Security Assertion Markup Language), mais c’était également le cas pour CitrixBleed 3, qui a fait l’objet d’un correctif en mars, ce qui n’a pas empêché qu’elle soit ensuite exploitée dans la nature. Cette condition ne signifie donc pas que les attaques sont improbables ni que cette configuration est rare. En effet, moins de 24 heures après la publication du correctif Citrix, la société de sécurité Lupovis a signalé avoir détecté des tentatives d’exploitation sur ses capteurs honeypot. « Trois capteurs distincts ont été ciblés en l’espace de cinq heures », a déclaré la société. « L’attaquant a reçu une réponse « 200 » sur le troisième capteur et a immédiatement déployé la charge utile de l’exploit. »

Une fuite plus modeste, mais néanmoins dangereuse

Même si watchTowr n’a pu divulguer que quelques octets de données via cette faille, contre des kilo-octets lors des précédents incidents CitrixBleed, les informations exposées pourraient tout de même s’avérer utiles aux attaquants. Bien que la démonstration de concept n’ait pas révélé d’identifiants ni de jetons, il est possible que des requêtes répétées finissent par divulguer des informations sensibles. À tout le moins, ces fuites peuvent exposer des pointeurs de mémoire de processus qui pourraient permettre aux attaquants de déployer plus facilement des charges utiles en exploitant des vulnérabilités d’écriture en mémoire telles que les débordements de tampon. En écrasant les données d’un emplacement mémoire qui contient normalement le code exécuté par le processus, les attaquants pourraient contourner les défenses anti-exploitation comme l’ASLR (Address Space Layout Randomization), une technique dite de « distribution aléatoire de l’espace d’adressage », pour prendre le contrôle total de l’appareil.

Dans le cadre de ce même cycle de correctifs, Citrix a également corrigé deux vulnérabilités de « débordement de mémoire » à haut niveau de gravité, référencées CVE-2026-8452 et CVE-2026-8655. L’enchaînement d’exploits ciblant différentes vulnérabilités est une approche courante dans les attaques modernes. La société a également corrigé une faille permettant la lecture arbitraire de fichiers sans authentification (CVE-2026-10816), une autre faille de lecture en mémoire au-delà des limites de allouées (CVE-2026-10817) et un problème de déni de service exploitable via des requêtes HTTP/2 (CVE-2026-13474). Cette dernière est en réalité une variante spécifique à NetScaler de la vulnérabilité HTTP/2 Bomb (CVE-2026-49975) récemment corrigée dans le serveur Web Apache.

Mesures d’atténuation

Citrix recommande à ses clients de mettre à niveau leurs appliances NetScaler ADC et NetScaler Gateway vers les versions 14.1-72.61, 14.1-72.61 FIPS, 13.1-63.18, 13.1-FIPS et 13.1-NDcPP 13.1.37.272. La vulnérabilité HTTP/2 Bomb nécessite également des modifications de configuration en plus de l’application des correctifs.

chevron_left
chevron_right