CVE-2026-3055: el fallo crítico de Citrix NetScaler que está vaciando credenciales de empresas desde hace una semana
Falla de memory overread con CVSS 9.3 en Citrix NetScaler ADC y Gateway bajo explotación activa desde el 27 de marzo. Si tu empresa usa NetScaler como SAML IDP y no has parcheado, ya perdiste.
Si tu empresa usa Citrix NetScaler para VPN o acceso remoto y no has revisado el sistema de parches en los últimos días, para lo que estás haciendo y lee esto primero. No es clickbait: hay un fallo activamente explotado con score 9.3 sobre 10, ya tiene módulo de Metasploit disponible, y la CISA le puso fecha límite de remediación a las agencias federales de EUA para hoy, 2 de abril de 2026. Miles de empresas mexicanas están en el radar.
Qué está pasando exactamente
El 23 de marzo, Citrix publicó un boletín de seguridad sobre CVE-2026-3055, una vulnerabilidad de lectura fuera de límites (out-of-bounds read) en NetScaler ADC y NetScaler Gateway. CVSS 9.3 sobre 10. Sin autenticación requerida. Sin interacción del usuario.
La primera semana sonó a “parcha lo que puedas”. Luego llegó el 27 de marzo y empezaron a observarse ataques reales. El 30 de marzo la CISA la metió al catálogo KEV (Known Exploited Vulnerabilities), lo que básicamente es el gobierno de EUA diciendo “esto ya está siendo usado para hacer daño”. El 31 de marzo salió un módulo de Metasploit. Y hoy, 2 de abril, era el deadline para que las agencias federales estadounidenses parchearan.
Estamos hablando de escalonamiento en cuestión de días.
Cómo funciona el ataque, en crudo
El fallo vive en la configuración SAML Identity Provider (SAML IDP) de NetScaler. Si tu appliance no está configurado como SAML IDP, estás fuera del blast radius. Si sí lo está, los atacantes pueden mandarte una petición SAMLRequest manipulada al endpoint /saml/login omitiendo el campo AssertionConsumerServiceURL. El appliance truena al procesar esa petición malformada y filtra contenido de su propia memoria a través de una cookie llamada NSC_TASS.
¿Qué hay en esa memoria? Potencialmente: session IDs de administración, tokens de autenticación, credenciales en tránsito. Con eso, un atacante puede encadenar un takeover completo del dispositivo sin necesidad de contraseña.
Hay un segundo endpoint afectado: /wsfed/passive, para WS-Federation passive authentication. Misma lógica, diferente protocolo.
Para verificar si tu NetScaler está configurado como SAML IDP, busca en la configuración del dispositivo la cadena:
add authentication samlIdPProfile .*Si aparece algo, eres objetivo potencial. Si no aparece nada, respira.
Versiones afectadas y dónde está el parche
Las versiones en riesgo según el advisory oficial de Citrix son:
| Producto | Versión vulnerable | Versión parcheada |
|---|---|---|
| NetScaler ADC / Gateway 14.1 | antes de 14.1-66.59 | 14.1-66.59 o superior |
| NetScaler ADC / Gateway 13.1 | antes de 13.1-62.23 | 13.1-62.23 o superior |
| NetScaler ADC 13.1-FIPS/NDcPP | antes de 13.1-37.262 | 13.1-37.262 o superior |
Importante: las instancias administradas desde la nube por Citrix no están afectadas. Solo los appliances on-premises administrados por el cliente.
Hay un segundo CVE ligado a este mismo boletín: CVE-2026-4368, también en el mismo advisory. Si parcheas para el 3055 con las versiones de arriba, cubres los dos al mismo tiempo.
Indicadores de compromiso: qué buscar en tus logs
Citrix no publicó una lista formal de IPs atacantes o hashes de archivos, pero las firmas de inteligencia de amenazas como watchTowr Labs y Rapid7 identificaron los patrones más comunes que debes buscar en tus logs de acceso de NetScaler:
- Peticiones
HTTP POSTrepetidas y sospechosas contra/saml/loginsin campoAssertionConsumerServiceURLen el payload - Sondeo masivo del endpoint
/cgi/GetAuthMethodsdesde IPs externas: esto es reconocimiento previo al ataque para mapear los flujos de autenticación activos - Peticiones anómalas contra
/wsfed/passive - La cookie
NSC_TASScon valores inusuales o truncados en las respuestas del servidor
Si usas un SIEM, arma reglas para estos patrones de inmediato. Si tu infraestructura se parece a cómo los perros robot custodian los data centers en EUA, probablemente ya tienes telemetría suficiente, pero en la mayoría de empresas mexicanas medianas la visibilidad en appliances de red es pésima. Revisa también logs de autenticación administrativa del NetScaler: sesiones abiertas desde IPs raras son señal roja.
Para empresas mexicanas: el pedo específico
NetScaler es uno de los productos más comunes en empresas grandes y medianas de México para VPN corporativa, balance de carga, y acceso remoto. Bancos, aseguradoras, manufactureras, gobierno federal y estatal, universidades. Si alguna vez tu trabajo requirió conectarte por VPN a sistemas corporativos usando una página de login con el logo de Citrix, probablemente pasaste por un NetScaler.
El problema es que en México la cultura de parchear appliances de red es… digamos que irregular. Muchos equipos de TI tienen el firmware congelado por miedo a romper algo, y los ciclos de mantenimiento son trimestrales cuando deberían ser semanales en situaciones como esta.
La recomendación es directa: si eres admin de TI o seguridad en una empresa mexicana que usa NetScaler, valida la versión del firmware hoy mismo antes de que termine el día. Si estás afectado, el parche ya está disponible desde el 23 de marzo. No hay excusa.
Para reportar incidentes o buscar orientación técnica en México, el CERT nacional es el CERT-MX, adscrito a la Secretaría de Seguridad y Protección Ciudadana. También puedes documentarte a través del CSIRT de la SCT si manejas infraestructura crítica de telecomunicaciones.
El contexto que lo hace más urgente
Lo que convierte este CVE en emergencia real no es solo el score de 9.3, sino la velocidad de maduración del exploit. En menos de una semana pasó de “bug confirmado” a “módulo de Metasploit público disponible”. Eso significa que cualquier atacante mediocre ya puede correr el exploit sin entender cómo funciona internamente. Es una chimba para los malos y una pesadilla para los equipos de defensa.
Y ya tenemos evidencia concreta de que no solo están sondeando: según Cybersecurity News, los atacantes llevan activos desde el 27 de marzo extrayendo session IDs de administración. Si tu sistema estuvo expuesto esos días, no puedes asumir que solo te sondearon. Tienes que asumir que hay una sesión comprometida hasta que revises los logs y confirmes lo contrario.
Vale recordar también el contexto reciente: las grandes filtraciones de datos de infraestructura corporativa en los últimos meses, desde ShinyHunters hasta ataques a librerías de desarrollo, muestran que los actores de amenaza están priorizando el acceso a la red perimetral como puerta de entrada. Un NetScaler comprometido no es solo un appliance más: es la llave al Active Directory, a los servidores internos, a todo.
Qué hacer ahorita mismo
- Verifica si eres vulnerable: revisa la versión de firmware en el panel de administración de NetScaler y confirma si tienes SAML IDP configurado con el comando mencionado arriba
- Aplica el parche: descarga las versiones corregidas desde el portal de soporte de Citrix. El advisory CTX696300 tiene los links directos
- Revisa logs de los últimos 7 días: busca los patrones de IOC mencionados arriba, especialmente las peticiones a
/saml/loginy/cgi/GetAuthMethods - Rota credenciales: si tuviste exposición durante la ventana de ataque (27 de marzo en adelante), rota contraseñas administrativas del appliance y tokens de sesión
- Reporta si detectas compromiso: al CERT-MX si eres empresa privada, o al CSIRT sectorial correspondiente si manejas infraestructura crítica
Un parche disponible desde hace diez días, explotación activa confirmada, y módulo de Metasploit público. La neta no hay muchas formas de describir esto sin sonar alarmista porque la situación sí es seria. Parchea hoy o explica mañana.
¿Tu empresa ya aplicó el parche o están todavía en el ciclo de aprobación de cambios? Cuéntanos cómo está el pedo en los comentarios.
Fuentes
- The Hacker News: Citrix NetScaler Under Active Recon for CVE-2026-3055
- Rapid7 ETR: CVE-2026-3055 Citrix NetScaler ADC and NetScaler Gateway Out-of-Bounds Read
- Help Net Security: Critical NetScaler ADC, Gateway flaw may soon be exploited
- Citrix Security Bulletin CTX696300
- Canadian Centre for Cyber Security Advisory AL26-006
- Cybersecurity News: Hackers Probe Citrix NetScaler Instances
- CISA Known Exploited Vulnerabilities Catalog
- CERT-MX en FIRST.org
Comentarios
No te pierdas ningún post
Recibe lo nuevo de Al Chile Tech directo en tu correo. Sin spam.
También te puede interesar
La falla de ChatGPT que robaba tus archivos con un solo prompt: ya fue parcheada, pero el pedo no terminó
Check Point Research reveló cómo un mensaje malicioso podía convertir cualquier conversación de ChatGPT en un canal silencioso de robo de datos. Esto es lo que pasó y cómo protegerte.
Crunchyroll fue hackeado y tus datos están en riesgo: qué hacer si tienes cuenta en México
ShinyHunters robó 100GB de datos de Crunchyroll a través de phishing a Telus Digital: 6.8 millones de correos expuestos, tickets de soporte y posiblemente datos de pago. Guía para protegerte desde México.
El axios que hackearon no es el periódico: así comprometieron la librería JS con 100 millones de descargas semanales
Un ataque de supply chain comprometió axios@1.14.1 y axios@0.30.4 el 31 de marzo de 2026. Qué hace el RAT, cómo saber si te afectó y qué hacer ahorita mismo.