Falla en dispositivos de acceso remoto corporativo explotada en menos de 24 horas de su publicación
Una nueva falla en Citrix NetScaler — los dispositivos que controlan el acceso remoto a redes corporativas — fue explotada activamente menos de 24 horas después de que Citrix publicara el parche. La falla permite extraer información de sesiones activas de la memoria del dispositivo sin necesitar contraseña, en configuraciones que usan NetScaler como punto de verificación de identidad (SAML). El parche está disponible desde el 30 de junio de 2026.
Qué ocurrió
Citrix publicó un parche para una falla en NetScaler ADC y NetScaler Gateway el 30 de junio de 2026. Menos de 24 horas después, atacantes comenzaron a explotarla activamente. La falla permite que un atacante externo lea fragmentos de la memoria del dispositivo — incluyendo tokens de sesión activos de usuarios conectados — sin necesidad de contraseña. El mecanismo es similar al de CitrixBleed original (2023), que fue utilizado en ataques de ransomware contra cientos de organizaciones en todo el mundo.
La condición para ser vulnerable: que el dispositivo NetScaler esté configurado como proveedor de identidad SAML — es decir, que sea el punto central donde los empleados se autentican para acceder a sistemas internos o VPN.
Quién está expuesto
Organizaciones con Citrix NetScaler ADC o NetScaler Gateway configurado como SAML IdP y sin el parche del 30 de junio de 2026. NetScaler es común en empresas medianas y grandes que utilizan Citrix para acceso remoto de empleados, VPN corporativa o balanceo de carga de aplicaciones.
A considerar
La velocidad de explotación — menos de 24 horas desde la publicación del parche — indica que los atacantes estaban monitoreando el aviso de Citrix y analizaron el parche de inmediato para construir el exploit. Este patrón, también visto con Oracle EBS esta misma semana, sugiere un ambiente de amenaza donde la ventana para parchear se mide en horas, no en días.
Señal de compromiso a verificar: tráfico inusual en el cookie NSC_TASS de respuestas HTTP del dispositivo NetScaler. Presencia de conexiones activas desde IPs desconocidas en sesiones de usuarios autenticados.
Impacto potencial
Un token de sesión robado equivale a una contraseña válida. El atacante puede acceder a todos los sistemas internos a los que tiene acceso el usuario cuya sesión fue comprometida — sin disparar alertas de contraseña incorrecta, sin requerir autenticación adicional. Si la cuenta comprometida tiene privilegios administrativos, el acceso al entorno completo es inmediato.
Leer fuente original →