Uma nova vulnerabilidade nos appliances Citrix NetScaler começou a ser explorada ativamente menos de 24 horas após a sua divulgação pública. Identificada como CVE-2026-8451 e apelidada de CitrixBleed To Infinity And Beyond pelos investigadores da watchTowr, a falha é mais uma entrada numa série cada vez mais longa de vulnerabilidades de divulgação de memória nos NetScaler — uma classe de falhas que, desde 2023, tem sido sistematicamente armada por grupos de ransomware para comprometer redes empresariais à escala global.
O que é a CVE-2026-8451
A vulnerabilidade é uma leitura fora dos limites de memória (out-of-bounds read) no parser XML personalizado do NetScaler para documentos SAML AuthnRequest. O problema reside numa falha de delimitação: quando o parser processa valores de atributos sem aspas seguidos de uma quebra de linha, falha em terminar o valor corretamente, causando uma leitura de memória além dos limites do buffer — cujo conteúdo é depois incluído na cookie NSC_TASS.
A exploração é não autenticada — não requer qualquer credencial, sessão prévia ou interação de utilizador. Basta enviar um pedido SAML malformado ao endpoint /saml/login. A condição necessária é que o appliance esteja configurado como SAML Identity Provider (IdP), uma configuração comum em ambientes empresariais que utilizam NetScaler para autenticação centralizada.
A Citrix classificou a falha com um CVSS de 8.8 e publicou o aviso de segurança CTX696604 a 30 de junho de 2026. A vulnerabilidade afeta:
- NetScaler ADC e NetScaler Gateway 14.1 antes da versão 14.1-72.61
- NetScaler ADC e NetScaler Gateway 13.1 antes da versão 13.1-63.18
Exploração confirmada em menos de 24 horas
A empresa de infraestrutura de decoy Lupovis confirmou ter detetado uma campanha coordenada de scanning e exploração em três dos seus sensores distintos, numa janela de cinco horas entre 30 de junho e 1 de julho de 2026. O ator responsável, a partir do IP 146.70.139[.]154, sondou progressivamente os sensores: após obter respostas 404 em dois deles, o terceiro devolveu uma resposta 200 — e o payload completo da CVE-2026-8451 foi imediatamente entregue por POST para /saml/login: uma tag <samlp:AuthnRequest seguida de 476 espaços sem atributos ou tag de fecho — o padrão exato do Detection Artifact Generator publicado pela watchTowr Labs para forçar o overread do parser XML.
Esta exploração ocorreu antes da falha ser adicionada ao catálogo de Known Exploited Vulnerabilities (KEV) da CISA — repetindo o padrão da CitrixBleed 2, onde a exploração começou semanas antes da inclusão no KEV. As organizações que priorizam patches exclusivamente com base no KEV ficaram expostas durante essa janela.
Uma família de vulnerabilidades recorrente
| CVE | Ano | Designação | Impacto confirmado |
|---|---|---|---|
| CVE-2023-4966 | 2023 | CitrixBleed (original) | Boeing, ICBC, DP World; exploração em massa por ransomware |
| CVE-2025-5777 | 2025 | CitrixBleed 2 | CVSS 9.3; ransomware Anubis; adicionado ao KEV da CISA |
| CVE-2025-12101 | 2025 | — | Memory leak e RXSS; descoberto pela watchTowr |
| CVE-2026-3055 | 2026 | CitrixBleed 3 | CVSS 9.3; exploração ativa antes da divulgação; adicionado ao KEV |
| CVE-2026-8451 | 2026 | CitrixBleed To Infinity | CVSS 8.8; exploração confirmada em menos de 24h; ainda não no KEV |
A investigadora Aliz Hammond, da watchTowr — que descobriu a CVE-2026-8451 em março de 2026 enquanto reproduzia a CVE-2026-3055 — resumiu o padrão: “a gestão de memória continua a aparecer frágil nos appliances Citrix NetScaler, ao ponto de mesmo uma configuração incorreta acidental poder levar à divulgação de memória.”
O que fazer agora
- Atualizar imediatamente para NetScaler ADC/Gateway 14.1-72.61 ou 13.1-63.18 (ou versões posteriores)
- Após o patch, invalidar todas as sessões ativas — um token roubado antes da atualização continua válido enquanto as sessões não forem terminadas
- Se a atualização imediata não for possível: desativar a funcionalidade SAML IdP e restringir o acesso ao endpoint
/saml/loginvia firewall ou VPN - Rever o ns.conf:
add authentication samlIdPProfileindica exposição como SAML IdP;add authentication vservereadd vpn vserverindicam exposição AAA/Gateway - Monitorizar logs para pedidos SAML malformados, respostas NSC_TASS anómalas (base64 com conteúdo de memória), e reutilização de tokens de sessão a partir de ASNs ou geografias inesperadas
- Rodar credenciais SAML (chaves de assinatura) e credenciais de contas de serviço potencialmente expostas na memória vazada
Porque é que isto importa
O Citrix NetScaler é amplamente utilizado em Portugal e na Europa como ponto de acesso remoto e de autenticação centralizada em organizações de sectores críticos — saúde, administração pública, energia, finanças. Uma falha que permite roubar tokens de sessão sem autenticação, contornando inclusive autenticação multifator, representa um vetor de entrada inicial extremamente eficaz para grupos de ransomware. O historial desta família de vulnerabilidades — da Boeing ao ICBC em 2023, ao ransomware Anubis em 2025 — não deixa margem para dúvidas sobre a rapidez com que estas falhas são armadas em campanhas ativas.
Para as organizações abrangidas pelo Regime Jurídico da Cibersegurança (NIS2, Decreto-Lei n.º 125/2025), a gestão proativa de vulnerabilidades em componentes de acesso remoto e autenticação é uma obrigação de conformidade. Um incidente resultante de uma falha com patch disponível pode configurar incumprimento das obrigações de diligência exigidas.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela watchTowr Labs, Lupovis, Citrix (aviso CTX696604), CyberScoop, Cyber Security News e Latest Hacking News.
