Citrixのネットワークおよびセキュリティソリューションの重大な脆弱性がワイルドで悪用されていることが、セキュリティ研究者によって確認されました。
この脆弱性は、Citrixが3月23日にCVE-2026-3055として開示したものであり、NetScaler Application Delivery Controller(ADC)およびNetScaler Gatewayの重大な境界外読み取りで、CVSS v4.0スコアは9.3です。
これらの2つの製品は、以前はCitrix ADCおよびCitrix Gatewayとして知られており、エンタープライズがアプリケーション配信とリモートアクセスを管理、最適化、保護するために使用するネットワークおよびセキュリティソリューションです。
Citrixの親会社であるCloud Software Groupによって内部で特定されたCVE-2026-3055は、不十分な入力検証がメモリ過読につながるものです。悪用された場合、認証されていないリモート攻撃者がアプライアンスのメモリから潜在的に機密情報を漏洩させることができます。
具体的には、両製品の以下のバージョンに影響します:
- NetScaler ADCおよびNetScaler Gatewayバージョン14.1 14.1-66.59前のバージョン
- NetScaler ADCおよびNetScaler Gateway 13.1 13.1-62.23前のバージョン
- NetScaler ADC FIPSおよびNDcPP 13.1-37.262前のバージョン
Citrixの3月23日の勧告によると、これらの脆弱性はSAML Identity Provider(SAML IDP)として明示的に構成されたNetScalerシステムのみに影響します。デフォルトまたは標準構成は影響を受けません。
さらに、影響を受けるのはカスタマー管理インスタンスのみで、Citrixが管理するクラウドインスタンスではありません。
顧客は、指定された文字列「add authentication samlIdPProfile .*」についてNetScaler構成を調べることで、SAML IDP Profileとして構成されたアプライアンスを持っているかどうかを判断できます。
ハニーポット活動がCVE-2026-3055の悪用を示す
3月28日にCVE-2026-3055の脆弱性分析を公開した後、watchTowrのセキュリティ研究者は「ワイルドでの悪用が始まった」ことを迅速に確認しました。
研究者は、3月27日の時点で既知の脅威アクター発信元IPからの悪用を示した独自のハニーポットネットワークの活動からの証拠に基づいて評価を行いました。
「これはCitrixが内部で特定した脆弱性に対する印象的なターンアラウンド時間です」と彼らは述べました。
並行して、Defusedの研究者も3月27日にワイルドでNetScaler ADCおよびNetScaler Gatewayに対する認証方法フィンガープリント活動を報告し、この活動がCVE-2026-3055と「直接関連している」ことに注目しました。
「CVE-2026-3055はADCがIDPとして構成されているインスタンスにのみ影響するため、このフィンガープリントはおそらくそれを正確に識別しています」と彼らは説明しました。
3月29日、Defusedの研究者はX上でCVE-2026-3055がワイルドで積極的に悪用されていると主張しました。
「攻撃者はAssertionConsumerServiceURLフィールドを省略した細工されたSAMLRequestペイロードを/saml/loginに送信し、アプライアンスがNSC_TASSクッキーを介してメモリコンテンツを漏洩させるようにトリガーします。私たちのハニーポットデータは、WatchtowrのProof-of-Conceptと同じペイロード構造からの悪用活動を示しています」と彼らは追加しました。
🚨Citrix NetScaler CVE-2026-3055がワイルドで積極的に悪用されています
攻撃者はAssertionConsumerServiceURLフィールドを省略した細工されたSAMLRequestペイロードを/saml/loginに送信し、アプライアンスがNSC_TASSクッキーを介してメモリコンテンツを漏洩させるようにトリガーします。
私たちのハニーポットデータ… pic.twitter.com/G8cgm9dVD9
— Defused (@DefusedCyber) 2026年3月29日
NetScalerユーザーに即座のパッチを適用するよう促す
WatchTowr、Defused、Citrix親会社Cloud Software Group、および英国の国家サイバーセキュリティセンター(NCSC)などの機関が、悪用されているNetScaler欠陥の即座のパッチ適用を促しています。
- NetScaler ADCおよびNetScaler Gateway 14.1-66.59以降のリリース
- NetScaler ADCおよびNetScaler Gateway 13.1-62.23以降の13.1リリース
- NetScaler ADC 13.1-FIPSおよび13.1-NDcPP 13.1.37.262以降の13.1-FIPSおよび13.1-NDcPPのリリース
さらに、NetScalerは14.1.60.52バージョンで「グローバルデニーリスト」と呼ばれる新機能を導入しました。この機能は、再起動を必要とせずに実行中のNetScalerへの即時パッチを採用する方法を提供します。
Cloud Software Groupは3月23日のセキュリティ勧告で、グローバルデニーリストの署名がCVE 2026-3055を軽減するために利用可能であると述べました。
「グローバルデニーリスト用の署名を受け取るには、NetScaler Console(Cloud Connectを備えたConsole On-premまたはConsole Service)を使用する必要があることに注意してください。さらに、CVE 2026-3055に対するグローバルデニーリスト署名による軽減は、14.1-60.52および14.1-60.57ファームウェアビルドにのみ適用可能です」と同社は述べました。
「上記で説明したように、完全にパッチが適用されたビルドを採用することをお勧めします。グローバルデニーリスト機能は、予定されたアウテージウィンドウ中にアップグレードを実行できるようにNetScalerを迅速に保護する方法です。」
翻訳元: https://www.infosecurity-magazine.com/news/critical-citrix-netscaler/
