Registran ola masiva de explotación de una vulnerabilidad en Citrix NetScaler: puntuación 10/10 y 2.700 ataques diarios
Cómo funciona la vulnerabilidad de Citrix que permite leer la memoria ajena sin necesidad de contraseña
Citrix NetScaler vuelve a ser atacado masivamente a través de una vulnerabilidad crítica. Los especialistas registran miles de ataques cada día, y la vulnerabilidad ya fue incluida en la lista de problemas activamente explotados por la CISA.
Según datos de FortiGuard Labs, los atacantes siguen buscando masivamente sistemas Citrix NetScaler ADC y NetScaler Gateway vulnerables accesibles desde Internet. Los ataques se dirigen principalmente a configuraciones en las que los dispositivos se usan como proveedor de aserciones SAML para la autenticación corporativa.
El problema CVE-2026-3055 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L - 10 (Crítica)) está relacionado con un error de lectura de memoria. Cuando el dispositivo procesa solicitudes SAML, no valida suficientemente algunos parámetros proporcionados por el usuario. Una solicitud especialmente elaborada puede obligar al sistema a devolver al atacante fragmentos del contenido de la memoria. Como resultado, quedan en riesgo tokens de autenticación, datos de sesión y otra información sensible.
La telemetría de FortiGuard muestra que durante los últimos 30 días el número de ataques se mantuvo constantemente alto. Las herramientas de detección de la compañía bloqueaban regularmente más de 2000 intentos de explotar CVE-2026-3055 al día. En días puntuales, el número de incidentes superó los 2700.
Los atacantes se dirigen con mayor intensidad a organizaciones de los sectores tecnológico, de telecomunicaciones, la industria automotriz, así como a organismos gubernamentales y proveedores de servicios de seguridad gestionados. Se registraron más intentos en Alemania, Hong Kong, Francia, Estados Unidos y Polonia. Cuando los ataques reales se confirmaron, la CISA incluyó CVE-2026-3055 en el catálogo Known Exploited Vulnerabilities, que contiene información sobre vulnerabilidades que ya están siendo explotadas por atacantes en la práctica.
La mayoría de los ataques detectados son de carácter masivo. Los atacantes operan desde infraestructuras en rápida rotación, incluidas máquinas virtuales, botnets y redes de anonimización. Esta actividad les permite escanear Internet constantemente en busca de dispositivos desprotegidos.
FortiGuard advierte que las organizaciones que no hayan aplicado las correcciones corren el riesgo de sufrir filtración de credenciales, compromisos de cuentas corporativas y acceso no autorizado a recursos internos. El riesgo es especialmente alto para los sistemas a través de los cuales el personal obtiene acceso remoto a servicios corporativos. La información pública sobre CVE-2026-3055 apareció el 3 de marzo de 2026. El 25 de mayo la vulnerabilidad fue añadida al catálogo de problemas activamente explotados de la CISA, lo que confirmó su alto atractivo para los atacantes.