サイバーセキュリティ研究者は、最近公開されたCitrix NetScaler ADCおよびGatewayアプライアンスの深刻な脆弱性が、間もなく実際に悪用される可能性について警告を発しています。
脅威インテリジェンス企業watchTowrおよびDefused Cyberは、CVE-2026-3055を標的とした積極的な偵察キャンペーンを検出しました。CVE-2026-3055は高度な重大度を持つメモリオーバーリード脆弱性であり、認証されていない攻撃者がエンタープライズのアイデンティティインフラストラクチャから機密データを抽出することができます。
CVSS スコア 9.3 が割り当てられた CVE-2026-3055 は、アプライアンス内の境界外メモリ読み取り条件につながる不十分な入力検証に起因しています。
Citrixは2026年3月23日にこの脆弱性を公開し、CWE-125(境界外読み取り)の下で重大として分類しました。
脆弱性を持つようにするには、NetScaler ADCまたはGatewayは、SAML Identity Provider(SAML IdP)。として動作するように明示的に設定される必要があります。
このアイデンティティフェデレーションプロファイルは、Microsoft 365、Salesforce、Workdayなどのプラットフォームに及ぶクラウドサービス統合を容易にするために、エンタープライズシングルサインオン(SSO)環境に一般的に配置されているため、潜在的な攻撃面は依然として実質的です。
この脆弱性は、2023年の悪名高い「CitrixBleed」(CVE-2023-4966)悪用に懸念すべき類似性を示しています。これは、脅威行為者に対して、標的となったエンタープライズ配置から機密メモリコンテンツを漏洩・読み取る、純粋に認証されていないメカニズムを提供しているためです。
漏洩したデータには、アクティブセッショントークン、SAML処理中に保存された認証情報、バックエンド構成シークレットが含まれる可能性があります。これらのどれも、深刻なダウンストリームの損害をもたらすためにリモートコード実行を必要としません。
この脆弱性は、ユーザーインタラクションを必要とせず、脆弱なSAMLエンドポイント向けに悪意を持って作成されたネットワークリクエストを通じてリモートからトリガーできます。
watchTowrは、グローバルAttacker Eye honeypotネットワークを通じて、脅威行為者が脆弱な構成を識別するために、インターネットに公開されたNetScaler インフラストラクチャを積極的に探索しているのを観察しました。
「影響を受けるCitrix NetScalerバージョンを影響を受ける構成で実行している組織は、直ちにツールを中止してパッチを適用する必要があります」と同社は警告しました。
「攻撃者の偵察が積極的な悪用に移行する時点で、対応する時間は消滅します」。
独立して、Defused Cyberが同じパターンを確認しました。「私たちは現在、NetScaler ADC/Gatewayに対する認証方法フィンガープリント活動を野生で観察しています」と、その企業はXに投稿しました。
「攻撃者は/cgi/GetAuthMethodsをプローブして、Citrix honeypotで有効な認証フローを列挙しています」。
この特定のエンドポイント プローブは、CVE-2026-3055 の悪用前提条件に直接リンクされています。/cgi/GetAuthMethods HTTP POST リクエストからの応答を分析することで、攻撃者はターゲット インスタンスが SAML IdP として設定されているかどうかを正確に判断できます。これにより、盲目的な攻撃を起動することなく、脆弱なアプライアンスの高度にターゲット化されたヒット リストを作成できます。
大規模な設定認識フィンガープリントの検出は、高度な攻撃者の意図と能力を示しています。
セキュリティ専門家は、この専門的な偵察と広範な積極的な悪用の間の時間が急速に閉じつつあることを明示的に警告しています。
この脆弱性は、以下のCitrix製品バージョンに影響します。
管理者は、アプライアンス構成で文字列add authentication samlIdPProfile .*をチェックして、公開状況を判断できます。存在する場合、インスタンスはSAML IdPとして構成されており、パッチが適用されるまでアクティブに脆弱です。
特に、Citrix管理クラウドサービスおよびCitrix管理適応認証は、ベンダーがそれらのプラットフォームで既に緩和措置を処理しているため、影響を受けません。
NetScaler インスタンスを SAML IdP として運用している管理者は、急性かつ直近のパッチ適用が必須です。組織は最新の Citrix セキュリティ アップデートの配置を優先するために、非重要な運用タスクを中止することを強くお勧めします。
パッチ後の措置には、アクティブな認証セッションのセッション終了と、事前の偵察または悪用の試みの兆候がないかログの確認が含まれる必要があります。これは、2025年の関連するCVE-2025-5777インシデント後にCitrix自体が推奨した手順です。
同様のNetScalerメモリ読み取り脆弱性が歴史的に公開から大規模悪用への移行が行われてきた速度を考えると、緊急性は強調しすぎることはできません。
翻訳元: https://cyberpress.org/hackers-scan-citrix-netscaler/