Des pirates informatiques exploitent activement une faille de sécurité majeure, référencée sous le code CVE-2026-3055, dans les appliances Citrix NetScaler ADC et NetScaler Gateway. L’objectif de ces attaques est l’exfiltration de données sensibles.
Une vulnérabilité déjà signalée en mars
Citrix avait initialement publié un avis de sécurité concernant cette vulnérabilité le 23 mars. Cette annonce était accompagnée d’une autre faille de haute gravité, CVE-2026-4368. La faille critique affecte les versions logicielles antérieures à 14.1-60.58, ainsi que les versions plus anciennes de la branche 13.1.
Le constructeur a précisé que seuls les appareils configurés en tant que fournisseur d’identité SAML (IDP) sont concernés. Seuls les administrateurs gérant des installations sur site doivent donc prendre des mesures correctives.
Une exploitation active confirmée
Suite à la publication de l’avis, plusieurs experts en cybersécurité ont souligné le risque élevé de cette vulnérabilité, notant des similitudes techniques avec les failles CitrixBleed et CitrixBleed2, largement exploitées par le passé.
La société watchTowr, spécialisée dans les tests de sécurité, a rapporté avoir observé des activités de reconnaissance ciblant des instances vulnérables dès le 30 mars. Les chercheurs ont confirmé le lendemain que des groupes hostiles exploitaient la faille depuis au moins le 27 mars pour extraire des identifiants de session d’administration. Cette action peut permettre un prise de contrôle complète des appliances NetScaler.
Les chercheurs estiment que la communication de Citrix était « trompeuse », car elle ne reflétait pas entièrement la nature du problème. Ils ont partagé un script Python pour aider les équipes de défense à identifier les hôtes vulnérables dans leurs infrastructures.
Un parc exposé encore vaste
À ce jour, l’avis officiel de Citrix ne fait pas mention d’attaques exploitant cette faille. La société n’a pas répondu aux demandes de commentaire sur ces activités malveillantes.
Selon les relevés de The ShadowServer Foundation au 28 mars, près de 29 000 instances NetScaler et 2 250 instances Gateway étaient exposées sur internet. La proportion de ces systèmes effectivement vulnérables à CVE-2026-3055 reste cependant inconnue.