Les équipements NetScaler ADC et NetScaler Gateway configurés en tant que fournisseur d’identité (IdP) SAML ou utilisant WS-Federation sont vulnérables à une sévère lecture hors limites de la mémoire (CWE-125).
Comme documenté par WatchTowr Labs et Hadrian, la vulnérabilité est déclenchée via une requête HTTP GET malveillante ciblant des points de terminaison d’authentification spécifiques. En exploitant une faille d’analyse (parsing) dans la chaîne de requête (query string), les attaquants peuvent forcer l’équipement à fuiter jusqu’à 65 Ko de mémoire contiguë du tas. Cette mémoire divulguée contient fréquemment des jetons NSSESSIONID actifs et hautement sensibles, permettant aux acteurs de la menace de contourner la MFA et de détourner des sessions VPN ou administratives existantes.
Le cœur de la vulnérabilité réside dans le moteur de traitement des paquets de NetScaler (nsppe), le démon en espace utilisateur hautement optimisé et propriétaire, responsable du traitement du trafic TCP/HTTP sur l’équipement.
Lorsqu’un équipement NetScaler est configuré comme IdP, il expose des points de terminaison tels que /saml/login et /wsfed/passive. Ces points d’accès attendent un paramètre de contexte, typiquement wctx, qui est utilisé pour maintenir l’état pendant le flux de redirection d’authentification.
Le parseur en code C de nsppe s’attend à ce que la chaîne de requête suive le formatage standard clé-valeur (ex: ?wctx=ContextData). Cependant, une faille critique existe dans la logique de vérification des limites lorsque le délimiteur = est intentionnellement omis (c’est-à-dire ?wctx suivi immédiatement de la fin de la chaîne ou d’une esperluette &).
Selon l’analyse binaire de WatchTowr :
wctx.= pour calculer la longueur de la charge utile.= est manquant, le calcul du pointeur mémoire échoue, entraînant un dépassement d’entier par le bas (integer underflow) ou un paramètre de longueur complètement erroné.memcpy() en utilisant cette valeur de longueur massive et corrompue, copiant efficacement des blocs adjacents de la mémoire du tas de nsppe dans le tampon de réponse.NSC_TASSLa mémoire lue hors limites n’est pas simplement injectée dans le corps HTML ; elle est encodée de manière transparente en Base64 et renvoyée à l’attaquant au sein du cookie HTTP NSC_TASS (Telemetry/Assertion State) dans la réponse de redirection 302 Redirect. L’attaquant n’a plus qu’à décoder le cookie pour visualiser le vidage (dump) de mémoire brute.
L’exploitation de la CVE-2026-3055 est dangereusement triviale et ne nécessite aucune authentification préalable. Les acteurs de la menace avancés utilisent la préparation du tas (“Heap Grooming”) pour s’assurer que la mémoire divulguée contient des cibles de grande valeur plutôt que des données inutiles (junk data).
GET /wsfed/passive?wctx HTTP/1.1.Set-Cookie: NSC_TASS=[Chaine_Base64].NSSESSIONID=, et injecte ce cookie volé dans son propre navigateur pour contourner l’authentification.Étant donné que la charge utile cible directement le démon nsppe et que l’équipement fonctionne comme une boîte noire, la forensique traditionnelle basée sur l’hôte est limitée. Les intervenants sur incident doivent s’appuyer massivement sur la télémétrie réseau et les journaux de l’équipement.
Journaux de l'équipement (ns.log)
Examinez /var/log/ns.log pour les requêtes HTTP ciblant /saml/login ou /wsfed/passive. Note cruciale : selon la configuration de journalisation, NetScaler peut supprimer les paramètres de requête malformés, rendant l’absence du = difficile à repérer nativement.
Journaux WAF et Reverse Proxy
Si le NetScaler se trouve derrière un WAF ou un CDN (comme Cloudflare), interrogez ces journaux de bordure. Recherchez des requêtes où l’URI contient wctx tout à la fin de la chaîne, ou suivi immédiatement par & (ex: wctx&otherparam=1).
Trouver la tentative d’exploitation n’est que la première étape. Les analystes DFIR doivent déterminer si des sessions ont été détournées avec succès.
NSSESSIONID est soudainement utilisé par une adresse IP source ou un User-Agent radicalement différent sans événement de nouvelle connexion correspondant.Déployez les règles suivantes pour identifier les tentatives d’exploitation contre le paramètre wctx.
title: Tentative d'exploitation NetScaler Memory Overread (CVE-2026-3055)id: 52945a0b-1912-4214-9844-3240e8e41255status: experimentaldescription: Détecte les requêtes HTTP GET malformées ciblant les points de terminaison SAML/WS-Fed sur Citrix NetScaler, en recherchant spécifiquement le paramètre wctx sans affectation de valeur, révélateur de la CVE-2026-3055.logsource: category: webserverdetection: selection_endpoints: c-uri|contains: - '/saml/login' - '/wsfed/passive' selection_payload: # Correspond à wctx à la fin de l'URL ou suivi directement par un autre paramètre cs-uri-query|re: '(?i)(^|&)wctx(&|$)' condition: selection_endpoints and selection_payloadlevel: criticaltags: - attack.initial_access - attack.t1190 - cve.2026-3055# Requête Splunk pour identifier la chaîne de requête malformée dans les journaux de bordureindex=web_logs (uri_path="/saml/login" OR uri_path="/wsfed/passive")| regex query_string="(?i)(^|&)wctx(&|$)"| stats count, values(http_user_agent) by src_ip, uri_path, query_string| where count > 1| sort - countL’application d’un correctif sur l’équipement est à elle seule insuffisante pour sécuriser l’environnement s’il a été exposé. Étant donné que cette vulnérabilité divulgue des jetons de session actifs, les attaquants peuvent maintenir un accès persistant même après la mise à jour du firmware.
kill aaa session all. Cela force tous les utilisateurs (et tout attaquant tapi dans l’ombre) à se réauthentifier, rendant inutiles les jetons NSSESSIONID volés.nsppe, il est fortement recommandé de procéder à la rotation des certificats de signature SAML, des mots de passe de liaison LDAP (bind passwords) et des secrets partagés RADIUS associés configurés sur l’équipement.