攻撃サーフェース管理企業WatchTowrが警告した通り、新しい重大度の高いCitrix NetScaler脆弱性の野生での悪用が、公開開示から1週間未満で開始されました。
先週月曜日、Citrixはこの脆弱性の修正をロールアウトしました。CVE-2026-3055(CVSSスコア9.3)として追跡されており、範囲外読み取り問題として説明され、内部で特定されたと発表されました。
SAML Identity Provider(SAML IDP)として構成され、NetScaler ADCおよびGatewayバージョン14.1-60.58および13.1-62.23より前、またはADC FIPSおよびNDcPPバージョン13.1-37.262より前で実行されているアプライアンスが影響を受けます。
Citrixがセキュリティ欠陥を公開した直後、WatchTowrは脅威行為者がまもなく悪用を開始する可能性が高いと警告し、悪名高いCitrixBleedおよびCitrixBleed2バグと比較しました。
金曜日に、同社は脆弱なNetScalerインスタンスに対する最初の積極的な偵察の試みを検出したことを報告し、日曜日に積極的な悪用が開始されたことを明らかにしました。
セキュリティ企業によると、このCVEはアプリケーションから機密メモリを漏らすために細工されたリクエストを使用して悪用される可能性のある複数のメモリオーバーリード問題をカバーしています。
悪用の観点から、WatchTowrが述べている通り、セキュリティ欠陥はCitrixBleed2に似ています。特定のパラメータは悪意のあるリクエストに存在する必要がありますが、値と「=」記号がありません。
「パッチが適用されていない/脆弱なCitrix NetScalerは、関連するデータの存在を確認するのではなく、変数に関連付けられたバッファにアクセスする前に、その存在のみを誤って確認します」とサイバーセキュリティ企業は説明しています。
リクエストに値がないと、デッドメモリが露出します。メモリは動的であるため、同じリクエストを複数回送信すると、異なる情報が漏れます。
WatchTowrは、認証された管理セッションのIDを公開することで、機密情報漏洩を実証するために、この悪用経路を使用したと述べています。
「もっと簡単に言えば、我々は現在ターゲットCitrix NetScalerアプライアンスの(完全に正当な)管理者です。ブラウザ、自動化、LLMに組み込んで、世界中のリモートアクセスを民主化してください」と同社は述べています。
WatchTowrによると、脆弱なNetScalerインスタンスの野生での悪用は少なくとも3月27日までに開始されたことを示唆する証拠があります。
翻訳元: https://www.securityweek.com/exploitation-of-fresh-citrix-netscaler-vulnerability-begins/
