A U.S. Cybersecurity and Infrastructure Security Agency (CISA) determinou que agências governamentais apliquem patch em seus appliances Citrix NetScaler para corrigir uma vulnerabilidade que está sendo explorada ativamente, com prazo até quinta-feira.
Diversas empresas de cibersegurança identificaram a falha (
CVE-2026-3055
) como de alto risco, sobretudo após a Citrix liberar atualizações de segurança em 23 de março.
A vulnerabilidade apresenta semelhanças técnicas com os casos ‘CitrixBleed’ e ‘CitrixBleed2’, amplamente explorados no passado.
O problema ocorre devido à validação insuficiente de entrada, permitindo que invasores remotos não autenticados roubem informações sensíveis de appliances Citrix ADC ou Citrix Gateway configurados como SAML identity providers (IDPs).
A empresa de segurança Watchtower também detectou que a vulnerabilidade já estava sendo explorada em ataques reais poucos dias após o lançamento dos patches.
Os especialistas alertam que os invasores podem usar essa falha para capturar IDs de sessão de autenticação administrativa, possibilitando o controle total dos NetScaler que não foram atualizados.
Embora a Citrix tenha recomendado a aplicação imediata dos patches e divulgado orientações detalhadas para identificar equipamentos vulneráveis, a empresa ainda não confirmou ataques em andamento relacionados à
CVE-2026-3055
.
Atualmente, a plataforma Shadowserver monitora cerca de 30.000 appliances NetScaler ADC e mais de 2.300 instâncias Gateway expostas publicamente.
No entanto, não há informações precisas sobre quantos desses dispositivos estão em configurações vulneráveis ou já receberam patches.
Na segunda-feira, a CISA adicionou a vulnerabilidade
CVE-2026-3055
ao seu Known Exploited Vulnerabilities (KEV) Catalog, determinando que as agências do Federal Civilian Executive Branch (FCEB) protejam os equipamentos Citrix vulneráveis até quinta-feira, 2 de abril, conforme estabelecido na Binding Operational Directive (BOD) 22-01.
“A vulnerabilidade desse tipo é um vetor comum para ataques cibernéticos maliciosos e representa riscos significativos para as instituições federais”, alertou a agência.
“Aplique as mitigações conforme as instruções do fornecedor, siga as diretrizes aplicáveis da BOD 22-01 para serviços em nuvem ou interrompa o uso do produto caso a mitigação não esteja disponível.”
Embora a BOD 22-01 se aplique apenas a agências federais dos EUA, a CISA recomendou que todos os responsáveis pela segurança, inclusive do setor privado, priorizem a correção da
CVE-2026-3055
para proteger seus ambientes o quanto antes.
Em agosto de 2025, a CISA já havia alertado sobre a exploração ativa do CitrixBleed2, dando apenas um dia para as agências federais garantirem a segurança dos sistemas.
A grave falha CitrixBleed também foi usada como zero-day por diversos grupos hackers para invadir grandes empresas de tecnologia, como a Boeing, e órgãos governamentais antes de ser corrigida em outubro de 2023.
No total, a agência de cibersegurança dos EUA identificou 23 vulnerabilidades da Citrix exploradas na prática, sendo que seis delas foram utilizadas em ataques de ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...