Citrix NetScalerアプライアンスは、自動化された攻撃の絶え間ない波に晒され続けています。セキュリティチームは1日に数千件もの悪意ある侵入を報告しており、根底にあるゼロデイ脆弱性はCISAの積極的悪用が確認された脆弱性カタログに正式に登録されました。
狙われる認証ハブ
FortiGuard Labsのテレメトリによると、攻撃者は脆弱なシステムを求めてインターネットを継続的にスキャンしています。具体的には、インターネットに公開されたCitrix NetScaler ADCおよびNetScaler Gatewayの環境が標的となっています。これらの積極的なキャンペーンは、アプライアンスがSAMLアイデンティティプロバイダーとして機能する構成に集中しており、企業の認証アーキテクチャは依然として大きなリスクに晒されています。
メモリリークの解剖
この重大な脆弱性は業界ではCVE-2026-3055として追跡されており、CVSS 4.0の最大深刻度スコアである10.0を記録しています。この構造的な欠陥は任意メモリ読み取りの異常に起因するもので、デバイスがSAMLアサーションリクエストを処理する際に、ユーザーが入力したパラメータのサニタイズ処理が行われないことが原因です。
その結果、巧妙に細工されたパケットによってシステムは揮発性メモリの内容を漏洩させます。この暗号化上の欠陥により、有効な認証トークンやアクティブなセッションパラメータが外部に露出します。最終的に、攻撃者はこの機密データを収集し、境界防御を完全に回避することが可能になります。
高まる脅威テレメトリ
FortiGuardの計測データによると、キャンペーンの勢いは依然として高い水準を維持しています。過去1か月間、自動検知ツールは1日あたり2,000件を超える攻撃試行をブロックしており、特定の時間帯には最大2,700件に達したこともありました。
業種別分布とグローバルな地理的状況
攻撃者は特定の高価値業種を優先的に狙っています。標的となる業種には、テクノロジー、通信、自動車製造、政府機関、マネージドセキュリティサービスプロバイダー(MSSP)が含まれます。地理的には、ドイツ、香港、フランス、米国、ポーランドで攻撃が最も集中しています。こうした状況を受け、CISAはCVE-2026-3055を既知の悪用された脆弱性(KEV)カタログに追加しました。
使い捨て型攻撃インフラ
記録されている侵入の大部分は、高度に自動化された機会主義的な性質を持っています。攻撃者は検知を回避するために作戦基盤を素早く切り替え、仮想プライベートサーバー、分散型ボットネット、匿名化されたプロキシネットワークを活用しています。このような機動的なインフラにより、保護されていないエンドポイントを狙った継続的なインターネットスキャンが可能となっています。
戦略的な対処策とタイムライン
FortiGuardのアナリストは、パッチを適用していない組織が深刻な運用上のリスクにさらされると警告しています。修正プログラムを適用しないままでいると、認証情報の窃取、企業プロファイルへの侵害、重要資産への不正アクセスを招くことになります。特にリモートワーカーのアクセスを管理するシステムにとって、この境界セキュリティ上の脅威は極めて危険です。
経緯を振り返ると、CVE-2026-3055に関する公開情報が最初に表面化したのは2026年3月3日でした。その後、CISAは2026年5月25日にこの脆弱性をアクティブな勧告データベースに組み込みました。この迅速な登録は、世界的な攻撃者グループにとってこの脆弱性がいかに有用であるかを公式に示すものです。
翻訳元: https://meterpreter.org/cve-2026-3055-exploit/
