サイバーセキュリティ研究者は、新たに開示されたCitrix NetScaler ADCおよびGatewayアプライアンスの重大な脆弱性を対象とした差し迫ったサイバー攻撃について、組織に警告しています。
脅威インテリジェンス企業のwatchTowrおよびDefused Cyberは、攻撃者が機密データを盗むことができる深刻な欠陥であるCVE-2026-3055を対象とした活動的な偵察キャンペーンを発見しました。
ハッカーが公開されているシステムを積極的にスキャンしているため、組織はこれらの調査が本格的な攻撃キャンペーンにエスカレートする前にアプライアンスにパッチを適用するよう促されています。
CVE-2026-3055を理解する
重大なCVSSスコア9.3が割り当てられたCVE-2026-3055は、入力検証不足が原因で、範囲外のメモリ読み取り条件を作成します。これはCSNによって報告されています。
アプライアンスが脆弱であるには、SAML Identity Providerとして動作するように具体的に構成する必要があります。
このアイデンティティセットアップはエンタープライズシングルサインオン環境でクラウドサービスを接続するために広く使用されているため、攻撃面は危険なほど大きいままです。
セキュリティエキスパートは、この脆弱性が過去数年の壊滅的な「CitrixBleed」攻撃と警告的な類似性を共有していると指摘しています。
これにより、脅威行為者は標的のエンタープライズネットワークから機密メモリコンテンツを読み取るための完全に認証されていない方法を提供します。
エクスプロイトはゼロのユーザー操作を必要とし、悪意のある細工されたネットワークリクエストを脆弱なエンドポイントに送信することでリモートからトリガーできます。
グローバルハニーポットネットワークを使用して、研究者は脅威行為者がインターネットに面したNetScalerインフラストラクチャを積極的に探しているのを観察しました。
現在のスキャン活動の波は、特定の認証構成の識別に完全に焦点を当てています。
テレメトリデータは、攻撃者が/cgi/GetAuthMethodsエンドポイントにHTTP POSTリクエストを送信していることを示しています。
これにより、彼らは公開されたデバイス上で有効な認証フローを体系的に確認することができます。
このスキャン技術は、CVE-2026-3055を悪用するために必要な特定の環境要件に直接関連しています。
このエンドポイントからの応答を分析することにより、ハッカーはターゲットシステムがSAML Identity Providerとして実行されているかどうかを簡単に確認できます。
このプログラムによるフィルタリングにより、攻撃者はエクスプロイトを盲目的に起動することなくシステムの脆弱性を検証でき、今後の大規模悪用のための高度に標的化されたヒットリストを効率的に構築することができます。
この構成対応フィンガープリンティングの発見は、脅威行為者が高度な能力を持ち、攻撃の準備をしていることを示しています。
セキュリティエキスパートは、この特殊な偵察と広範囲のアクティブな悪用の間の時間枠が急速に閉じていることを明確に警告しています。
SAML Identity Providerとして構成されたNetScalerインスタンスを管理している管理者は、急性の緊急事態に直面しています。
組織は、重大でないタスクを一時停止し、周囲のアーキテクチャを保護するための最新のCitrixセキュリティアップデートの即座のインストールを優先することを強く勧められています。
翻訳元: https://gbhackers.com/hackers-probe-citrix-netscaler-systems-cve-2026-3055-exploitation/
