CVE-2026-8451: nova vulnerabilidade CitrixBleed explorada em menos de 24 horas após divulgação

Uma nova vulnerabilidade nos appliances Citrix NetScaler começou a ser explorada ativamente menos de 24 horas após a sua divulgação pública. Identificada como CVE-2026-8451 e apelidada de CitrixBleed To Infinity And Beyond pelos investigadores da watchTowr, a falha é mais uma entrada numa série cada vez mais longa de vulnerabilidades de divulgação de memória nos NetScaler — uma classe de falhas que, desde 2023, tem sido sistematicamente armada por grupos de ransomware para comprometer redes empresariais à escala global.

O que é a CVE-2026-8451

A vulnerabilidade é uma leitura fora dos limites de memória (out-of-bounds read) no parser XML personalizado do NetScaler para documentos SAML AuthnRequest. O problema reside numa falha de delimitação: quando o parser processa valores de atributos sem aspas seguidos de uma quebra de linha, falha em terminar o valor corretamente, causando uma leitura de memória além dos limites do buffer — cujo conteúdo é depois incluído na cookie NSC_TASS.

A exploração é não autenticada — não requer qualquer credencial, sessão prévia ou interação de utilizador. Basta enviar um pedido SAML malformado ao endpoint /saml/login. A condição necessária é que o appliance esteja configurado como SAML Identity Provider (IdP), uma configuração comum em ambientes empresariais que utilizam NetScaler para autenticação centralizada.

A Citrix classificou a falha com um CVSS de 8.8 e publicou o aviso de segurança CTX696604 a 30 de junho de 2026. A vulnerabilidade afeta:

  • NetScaler ADC e NetScaler Gateway 14.1 antes da versão 14.1-72.61
  • NetScaler ADC e NetScaler Gateway 13.1 antes da versão 13.1-63.18

Exploração confirmada em menos de 24 horas

A empresa de infraestrutura de decoy Lupovis confirmou ter detetado uma campanha coordenada de scanning e exploração em três dos seus sensores distintos, numa janela de cinco horas entre 30 de junho e 1 de julho de 2026. O ator responsável, a partir do IP 146.70.139[.]154, sondou progressivamente os sensores: após obter respostas 404 em dois deles, o terceiro devolveu uma resposta 200 — e o payload completo da CVE-2026-8451 foi imediatamente entregue por POST para /saml/login: uma tag <samlp:AuthnRequest seguida de 476 espaços sem atributos ou tag de fecho — o padrão exato do Detection Artifact Generator publicado pela watchTowr Labs para forçar o overread do parser XML.

Esta exploração ocorreu antes da falha ser adicionada ao catálogo de Known Exploited Vulnerabilities (KEV) da CISA — repetindo o padrão da CitrixBleed 2, onde a exploração começou semanas antes da inclusão no KEV. As organizações que priorizam patches exclusivamente com base no KEV ficaram expostas durante essa janela.

Uma família de vulnerabilidades recorrente

CVEAnoDesignaçãoImpacto confirmado
CVE-2023-49662023CitrixBleed (original)Boeing, ICBC, DP World; exploração em massa por ransomware
CVE-2025-57772025CitrixBleed 2CVSS 9.3; ransomware Anubis; adicionado ao KEV da CISA
CVE-2025-121012025Memory leak e RXSS; descoberto pela watchTowr
CVE-2026-30552026CitrixBleed 3CVSS 9.3; exploração ativa antes da divulgação; adicionado ao KEV
CVE-2026-84512026CitrixBleed To InfinityCVSS 8.8; exploração confirmada em menos de 24h; ainda não no KEV

A investigadora Aliz Hammond, da watchTowr — que descobriu a CVE-2026-8451 em março de 2026 enquanto reproduzia a CVE-2026-3055 — resumiu o padrão: “a gestão de memória continua a aparecer frágil nos appliances Citrix NetScaler, ao ponto de mesmo uma configuração incorreta acidental poder levar à divulgação de memória.”

O que fazer agora

  • Atualizar imediatamente para NetScaler ADC/Gateway 14.1-72.61 ou 13.1-63.18 (ou versões posteriores)
  • Após o patch, invalidar todas as sessões ativas — um token roubado antes da atualização continua válido enquanto as sessões não forem terminadas
  • Se a atualização imediata não for possível: desativar a funcionalidade SAML IdP e restringir o acesso ao endpoint /saml/login via firewall ou VPN
  • Rever o ns.conf: add authentication samlIdPProfile indica exposição como SAML IdP; add authentication vserver e add vpn vserver indicam exposição AAA/Gateway
  • Monitorizar logs para pedidos SAML malformados, respostas NSC_TASS anómalas (base64 com conteúdo de memória), e reutilização de tokens de sessão a partir de ASNs ou geografias inesperadas
  • Rodar credenciais SAML (chaves de assinatura) e credenciais de contas de serviço potencialmente expostas na memória vazada

Porque é que isto importa

O Citrix NetScaler é amplamente utilizado em Portugal e na Europa como ponto de acesso remoto e de autenticação centralizada em organizações de sectores críticos — saúde, administração pública, energia, finanças. Uma falha que permite roubar tokens de sessão sem autenticação, contornando inclusive autenticação multifator, representa um vetor de entrada inicial extremamente eficaz para grupos de ransomware. O historial desta família de vulnerabilidades — da Boeing ao ICBC em 2023, ao ransomware Anubis em 2025 — não deixa margem para dúvidas sobre a rapidez com que estas falhas são armadas em campanhas ativas.

Para as organizações abrangidas pelo Regime Jurídico da Cibersegurança (NIS2, Decreto-Lei n.º 125/2025), a gestão proativa de vulnerabilidades em componentes de acesso remoto e autenticação é uma obrigação de conformidade. Um incidente resultante de uma falha com patch disponível pode configurar incumprimento das obrigações de diligência exigidas.

Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela watchTowr Labs, Lupovis, Citrix (aviso CTX696604), CyberScoop, Cyber Security News e Latest Hacking News.