未修正のままでは、認証されていないリモート攻撃者がアプライアンスのメモリから機密情報をリークすることを許しています。
広く悪用されているCitrixBleedおよびCitrixBleed2の脆弱性に似た新しい重大な脆弱性は、NetScalerデバイスで直ちにパッチを適用する必要があると専門家は述べています。
この脆弱性であるCVE-2026-3055は、アイデンティティと認証を承認するためのSAML IDPとして設定されたカスタマー管理のNetScaler ADCおよびNetScaler Gatewayデバイスの境界外読み取り脆弱性です。CVSSスケールでの重大度は9.3で評価されています。
「修正せずに放置することの影響は深刻です」とRapid7のスタッフセキュリティ研究者であるRyan Emmonsは電子メールでCSOに述べました。なぜなら、この脆弱性により、認証されていないリモート攻撃者がアプライアンスのメモリから機密情報をリークできるからです。
「この脆弱性は、脅威アクターと研究者の両方が注視しているものの1つです」と彼は述べました。
この脆弱性は2023年のCitrixBleedおよび2025年のCitrixBleed2メモリリーク脆弱性と同様の影響をもたらすと、Emmonsは付け加えました。その時、既存のアクセスレベルを持たない認証されていない攻撃者は、公開インターネットに露出しているビジネスクリティカルなCitrix NetScalerシステムから認証情報を盗むことができました。
CitrixBleed2は、脆弱なCitrixエンドポイントに特別に細工されたHTTPリクエストを送信することにより、攻撃者が機密メモリコンテンツをリークすることを可能にしました。昨年それが発見されたとき、Impervaの研究者は脅威アクターがこの脆弱性を悪用しようとしているのを素早く検出し、1150万件以上の攻撃を検出しました。
成功した1つのケースは、研究者からSalt Typhoonとして知られている中国を拠点とするグループが関与しており、Darktraceによれば、CitrixBleed2を悪用して名前が明かされていないヨーロッパの電気通信プロバイダーの防御をかいくぐり、バックドアをインストールしました。
「この脆弱性の悪用も同じことを容易にすると予想しています」と彼は述べました。「初期アクセスです。得られるものが多いため、脅威アクターがCVE-2026-3055のエクスプロイト開発に積極的に取り組んでいる可能性は圧倒的であり、野生での悪用が差し迫っていると信じています。」
影響を受けるのはNetScaler ADCおよびNetScaler Gatewayバージョン14.1(14.1-66.59より前)、NetScaler ADCおよびNetScaler Gatewayバージョン13.1(13.1-62.23より前)、およびNetScaler ADC FIPSおよびNDcPP(13.1-37.262より前)です。
顧客への通知書でCitrixは「影響を受けたお客様に強く促します」関連する更新バージョンをできるだけ早くインストールするよう促しています。
同じ通知書で、CitrixはCVE-2026-4368についてアドミンに警告しました。これはユーザーセッションの混合につながるレース条件で、CVSSスケールで7.7で評価されており、NetScaler ADCおよびNetScaler Gateway 14.1-66.54デバイスに適用されます。
主な標的
NetScaler ADCはロードバランシングとトラフィック管理を通じてウェブアプリケーションと従来のアプリケーションの配信を最適化するアプリケーション配信コントローラーであり、一方NetScaler GatewayはVPNソリューションです。
カテゴリとしてADCとVPNはインターネットに直面しているため、脅威アクターの主な標的です。「組織が大きく依存し、ネットワークエッジで露出する傾向にあるものはすべて、攻撃者の目には美味しい標的になります」とEmmonsは述べました。「これはこれらの製品の品質が低いという意味ではなく、脅威アクターがこれらの微妙な欠陥を見つけて悪用するために膨大な時間とエネルギーを費やしているだけです。」
Citrixがその勧告でCVE-2026-3055が製品セキュリティテストを通じて発見されたと述べています、と彼は指摘しました。「つまり、彼らは脅威アクターがそれを行う前にこれらのバグを見つけるための積極的なアプローチを取っているということです。これは見ていて喜ばしいことです。Citrix製品は非常に人気があり、広く使用されており、公開インターネットに定期的に露出しているため、ベンダーがこのようにセキュリティを優先することが最も重要です。」
Emmonsは、ADCとVPNを保護するために防御者ができる最善のことは、露出している攻撃面を減らし、脆弱性インテリジェンスが利用可能で効果的に配布されていることを確認し、最も重要なシステムへのパッチ適用を優先することだと述べました。
「インターネットに露出する必要のないシステムは露出してはいけません」と彼は述べました。「可能な限り、公開されている攻撃面を減らすことが重要です。それがすでに実装されている場合、組織が依存する製品に影響を与える脆弱性に関する早期かつ正確なインテリジェンスを持つことが重要です。重要なセキュリティ勧告が公開当日から防御チームに高く見える状態に確保し、トリアージを行うことに焦点を当てるべきです。」
