Citrix NetScaler e Windows Netlogon estão sob ataque real nesta semana. O ponto não é apenas aplicar o patch; é validar, de forma contínua, se a sua defesa realmente segura o golpe.
Esta semana abriu com dois alertas que deveriam tirar o sono de qualquer gestor de TI. A Fortinet reportou exploração em larga escala da CVE-2026-3055 (CVSS 9.8) no Citrix NetScaler ADC e Gateway, e o governo belga emitiu aviso urgente sobre a CVE-2026-41089 (CVSS 9.8), uma falha no Windows Netlogon. Para completar, a CISA adicionou uma falha do SolarWinds Serv-U ao seu catálogo de vulnerabilidades exploradas. Três produtos onipresentes no parque corporativo brasileiro, duas notas máximas de severidade, e a palavra que muda tudo: exploração ativa. Não é teoria de laboratório, é adversário operando agora.
Vale entender o que essas falhas têm em comum. A CVE-2026-3055 nasce de validação insuficiente de entrada quando a NetScaler atua como provedor de identidade SAML: uma requisição malformada leva o appliance a ler além da memória prevista, e essa leitura indevida é o que o invasor encadeia para executar código remotamente em um equipamento exposto à internet. Já a CVE-2026-41089 é um estouro de buffer no Netlogon, o protocolo que estações e servidores usam para se autenticar contra o controlador de domínio. Por ser explorável pela rede e sem autenticação, ela coloca em risco justamente a joia da coroa da identidade corporativa: o Active Directory. O padrão se repete em ambas: dispositivo crítico, voltado para fora ou no coração do domínio, atacado antes que muita empresa sequer tenha aplicado a correção.
E aqui mora o engano mais caro que vejo no mercado. Saber que a falha existe não é o mesmo que saber se você está exposto. Entre o boletim do fabricante e a sua realidade há uma distância povoada de janelas de patch que demoram, configurações que destoam do recomendado, exceções de firewall esquecidas e controles que foram comprados, instalados e nunca testados de verdade. A pergunta que importa não é “tenho NGFW, EDR e SIEM?”. É “se a CVE-2026-3055 fosse disparada contra o meu ambiente hoje, o meu NGFW bloquearia, o meu EDR detectaria e o meu SIEM geraria um alerta acionável?”. Quase ninguém tem essa resposta com confiança, e é esse vácuo que o atacante explora.
Foi para fechar esse vácuo que a indústria consolidou a categoria de BAS (Breach and Attack Simulation). A ideia é simular de forma contínua e segura as mesmas táticas, técnicas e procedimentos que os adversários reais usam, mapeadas ao framework MITRE ATT&CK, e medir objetivamente se os seus controles detectam e barram cada etapa. É um passo além de duas práticas que já defendo aqui na coluna: o scan de vulnerabilidades lista o que está vulnerável, mas não prova se a sua defesa resiste; o pentest é profundo, porém é uma fotografia de um instante. O BAS transforma a avaliação de postura em filme, rodando o tempo todo, acompanhando cada mudança de ambiente, cada patch aplicado e cada regra alterada. Semana passada defendi nesta coluna que se deve assumir que uma credencial já está comprometida; a mesma humildade vale para os controles: assuma que algo vai falhar e teste antes que o adversário teste por você. Com os ataques cibernéticos triplicando no Brasil, validar continuamente deixou de ser luxo de empresa grande.
É essa convicção que está por trás do SamurEye, a plataforma de validação contínua de postura de segurança que desenvolvemos na Gruppen (www.samureye.com.br) para levar a lógica de BAS à realidade das empresas brasileiras, sem o custo e a complexidade que normalmente afastam o time de TI desse tipo de exercício. Independentemente da ferramenta que você escolher, a recomendação concreta é a mesma: pare de medir segurança apenas pela lista de produtos instalados e passe a medir pela evidência de que eles funcionam contra ataques reais. Comece pelos ativos de borda e pelos controladores de domínio, exatamente os alvos das falhas desta semana.
Se uma das CVEs em exploração ativa hoje fosse apontada contra a sua empresa, você saberia, em minutos, se a sua defesa segurou? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
- Fortinet alerta para exploração de falha no Citrix NetScaler (CVE-2026-3055)
- CISA Known Exploited Vulnerabilities Catalog
- Vulnerability Intelligence Report, junho de 2026 (Netlogon CVE-2026-41089)
- What is Breach and Attack Simulation (BAS)? (Cymulate)
- Ataques cibernéticos triplicaram no Brasil (PEBSP)
- SamurEye, plataforma de validação de postura da Gruppen
