A agência de cibersegurança dos Estados Unidos, conhecida como CISA, ordenou que as agências governamentais norte-americanas corrijam imediatamente os seus equipamentos Citrix NetScaler. O motivo é uma nova falha crítica que já está a ser ativamente explorada por atacantes, existindo um prazo estrito até quinta-feira, dia 2 de abril, para aplicar a correção.
O fantasma do CitrixBleed regressa
Várias empresas de cibersegurança alertaram para o risco elevado desta vulnerabilidade (registada como CVE-2026-3055), após a Citrix ter lançado atualizações de segurança a 23 de março. O problema técnico apresenta semelhanças com os incidentes conhecidos como CitrixBleed e CitrixBleed2.
O erro tem origem numa validação de entrada insuficiente. Na prática, isto permite que atacantes remotos, mesmo sem autenticação, consigam roubar informações sensíveis de equipamentos Citrix ADC ou Gateway que estejam configurados como provedores de identidade SAML.
A empresa Watchtowr identificou que a vulnerabilidade já estava a ser explorada poucos dias após a disponibilização das correções. Os piratas informáticos conseguem apoderar-se dos identificadores de sessão de autenticação dos administradores, o que lhes abre as portas para assumir o controlo total dos sistemas não atualizados.
Milhares de equipamentos expostos na internet
Atualmente, a plataforma Shadowserver monitoriza quase 30.000 equipamentos NetScaler ADC e, através de outros dados da mesma entidade, contabiliza mais de 2.300 instâncias Gateway expostas online. Contudo, ainda não existem números exatos sobre quantos destes dispositivos utilizam configurações vulneráveis ou quantos já receberam a devida correção.
Apesar da fabricante já ter apelado aos clientes para atualizarem as instâncias do NetScaler e ter publicado orientações detalhadas para identificar os equipamentos afetados, a empresa ainda não confirmou oficialmente que os ataques associados à CVE-2026-3055 estão em curso.
Histórico de ataques exige ação rápida
Na passada segunda-feira, a CISA adicionou esta vulnerabilidade ao seu catálogo de falhas ativamente exploradas. A diretiva obriga as agências federais a garantir a segurança dos sistemas até quinta-feira, dia 2 de abril, mas a organização apela também ao setor privado para que trate a aplicação desta correção como uma prioridade absoluta.
Este tipo de vulnerabilidade tem sido um vetor de ataque frequente. Em agosto de 2025, a CISA já tinha sinalizado o CitrixBleed2 com uma urgência extrema, dando apenas um dia às agências para protegerem as suas infraestruturas. O Citrix Bleed original também foi usado num ataque de dia zero por vários grupos de cibercriminosos para invadir empresas tecnológicas de grande dimensão, como a Boeing, antes de ser corrigido em outubro de 2023. No total, a agência norte-americana já marcou 23 vulnerabilidades da fabricante como sendo exploradas de forma ativa, seis das quais resultaram em ataques de ransomware.
Nenhum comentário
Seja o primeiro!