ハッカーらがCVE-2026-3055という重大度の高い脆弱性を悪用して、CitrixのNetScaler ADCおよびNetScaler Gatewayアプライアンスから機密データを取得しています。
Citrixは初めてCVE-2026-3055を
セキュリティ速報に対応して、複数のサイバーセキュリティ企業がCVE-2026-3055が重大なリスクを有していることを指摘し、2023年および2025年の広く悪用された「CitrixBleed」および「CitrixBleed2」との技術的な類似性に注目しています。
有害シミュレーションと継続的なテストサービスを提供する企業であるwatchTowr は、土曜日に脆弱なインスタンスを標的とした偵察活動を観察したと発表し、野生での悪用が差し迫っていると警告しました。
翌日、研究者らは脅威行為者が3月27日以降、この脆弱性を悪用して認証管理セッションIDを抽出し始めたことを確認しました。これはNetScalerアプライアンスの完全な乗っ取りを可能にする可能性があります。
「野生での悪用が開始されており、3月27日現在、既知の脅威行為者のソースIPからの悪用の証拠がハニーポットネットワークから示されています」とwatchTowr報告しています。
watchTowr の分析によると、CVE-2026-3055は実際には1つではなく、少なくとも2つの異なるメモリオーバーリード バグをカバーしています。最初のバグはSAML認証を処理する「/saml/login」エンドポイントに影響し、2番目のバグはWS-Federation パッシブ認証に使用される「/wsfed/passive」エンドポイントに影響します。
研究者らは、このセキュリティ脆弱性を活用して「認証済み管理セッションIDを含む機密情報を」取得できることを実証しました。
研究者らはセキュリティ速報におけるこのセキュリティの問題についてのCitrixの不完全な開示を「不誠実」と呼んでいます。また、環境内の脆弱なホストを特定するためにディフェンダーを支援するPythonスクリプトも共有しました。
公開時点では、Citrix の速報はCVE-2026-3055が悪用されていることに触れていません。BleepingComputerはパッチが適用されていないアプライアンスを標的とした報告されている脅威行為者活動についてコメントを求めるため同社に連絡しましたが、応答は受け取っていません。
3月28日現在、The ShadowServer Foundation は29,000個のNetScalerおよび2,250個のGatewayインスタンスがオンラインで公開されていることが確認されていますが、それらのうちどのパーセンテージがCVE-2026-3055に対して脆弱であるかは不明です。
