重大なCitrix NetScalerバグの実環境での悪用が開示からわずか1週間未満で始まり、研究者は攻撃者がすでに脆弱なボックスを探索・略奪していると警告しています。
先週、CitrixはCVE-2026-3055の修正をリリースしました。内部で特定された9.3評価の範囲外読み取りです。説明は聞く限りでは地味ですが、CitrixBleedとCitrixBleed2の痛手を被った誰もが、「メモリオーバーリード」というフレーズで警報が鳴ります。
警告はそう長くは響きませんでした。脅威インテリジェンス企業のwatchTowrによると、金曜日までに脆弱なNetScalerインスタンスに対する偵察トラフィックが観察され、日曜日までには能動的な悪用の証拠があったとのことです。
「先に進む前に、1つはっきり言う必要があります:実環境での悪用が始まったのです」と研究者は述べており、3月27日現在、脅威アクターにこれまでリンクされていたインフラからのアクティビティを示したハニーポットデータを指しています。「Citrixが内部で特定した脆弱性としては、ターンアラウンドタイムとしては印象的です。」
悪用に大きな魔法は必要ありません。存在するが何も含まないパラメータ(「=」記号さえない)でリクエストを送信するだけで、NetScalerがそのまま動作します。エラーをスローする代わりに、読むべきではないメモリに掘り進み、セッショントークンから認証情報その他の残骸まで、そこに存在するものすべてを返します。
WatchTowr社は、この欠陥がCitrixBleed2に「見た目、臭い、鳴き方が」似ていると述べており、認証システムの直前に位置するエッジアプライアンスのメモリ処理問題という長年のテーマを継続しています。
別の複雑な点があります。研究者によると、CVE-2026-3055は1つのバグではなく、複数の密接に関連したメモリリークで、事実上1つのIDの下にバンドルされた複数の脆弱性です。分析中に、彼らはさらに別の同様の問題を発見し、Citrixに報告したと述べています。
英国のナショナルサイバーセキュリティセンターは既に組織にパッチを適用するよう促し、NetScaler ADCおよびGatewayデプロイメントが広く公開されており、重要なアイデンティティパス内に位置していることが多いと警告しています。これにより、悪用が始まったら特に魅力的なターゲットになります。
一方、Citrixはまだ能動的な悪用を公に確認しておらず、その勧告は3月27日以来更新されていません。これは管理者を、攻撃者がこれらのボックスがどれだけのデータをこぼすかをテストしている間にパッチを当てるために奔走するという、今ではなじみのある状況に置いています。
最近の歴史が何かの指針なら、答えは誰もが望むより多いかもしれません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/30/citrix_netscaler_flaw/
