A U.S. Cybersecurity and Infrastructure Security Agency (CISA) determinou que agências governamentais apliquem patch em seus appliances Citrix NetScaler para corrigir uma vulnerabilidade que está sendo explorada ativamente, com prazo até quinta-feira.
Diversas empresas de cibersegurança identificaram a falha (
CVE-2026-3055
) como de alto risco, sobretudo após a Citrix liberar atualizações de segurança em 23 de março.
A vulnerabilidade apresenta semelhanças técnicas com os casos ‘CitrixBleed’ e ‘CitrixBleed2’, amplamente explorados no passado.
O problema ocorre devido à validação insuficiente de entrada, permitindo que invasores remotos não autenticados roubem informações sensíveis de appliances Citrix ADC ou Citrix Gateway configurados como SAML identity providers (IDPs).
A empresa de segurança Watchtower também detectou que a vulnerabilidade já estava sendo explorada em ataques reais poucos dias após o lançamento dos patches.
Os especialistas alertam que os invasores podem usar essa falha para capturar IDs de sessão de autenticação administrativa, possibilitando o controle total dos NetScaler que não foram atualizados.
Embora a Citrix tenha recomendado a aplicação imediata dos patches e divulgado orientações detalhadas para identificar equipamentos vulneráveis, a empresa ainda não confirmou ataques em andamento relacionados à
CVE-2026-3055
.
Atualmente, a plataforma Shadowserver monitora cerca de 30.000 appliances NetScaler ADC e mais de 2.300 instâncias Gateway expostas publicamente.
No entanto, não há informações precisas sobre quantos desses dispositivos estão em configurações vulneráveis ou já receberam patches.
Na segunda-feira, a CISA adicionou a vulnerabilidade
CVE-2026-3055
ao seu Known Exploited Vulnerabilities (KEV) Catalog, determinando que as agências do Federal Civilian Executive Branch (FCEB) protejam os equipamentos Citrix vulneráveis até quinta-feira, 2 de abril, conforme estabelecido na Binding Operational Directive (BOD) 22-01.
“A vulnerabilidade desse tipo é um vetor comum para ataques cibernéticos maliciosos e representa riscos significativos para as instituições federais”, alertou a agência.
“Aplique as mitigações conforme as instruções do fornecedor, siga as diretrizes aplicáveis da BOD 22-01 para serviços em nuvem ou interrompa o uso do produto caso a mitigação não esteja disponível.”
Embora a BOD 22-01 se aplique apenas a agências federais dos EUA, a CISA recomendou que todos os responsáveis pela segurança, inclusive do setor privado, priorizem a correção da
CVE-2026-3055
para proteger seus ambientes o quanto antes.
Em agosto de 2025, a CISA já havia alertado sobre a exploração ativa do CitrixBleed2, dando apenas um dia para as agências federais garantirem a segurança dos sistemas.
A grave falha CitrixBleed também foi usada como zero-day por diversos grupos hackers para invadir grandes empresas de tecnologia, como a Boeing, e órgãos governamentais antes de ser corrigida em outubro de 2023.
No total, a agência de cibersegurança dos EUA identificou 23 vulnerabilidades da Citrix exploradas na prática, sendo que seis delas foram utilizadas em ataques de ransomware.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...