米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、政府機関に対して木曜日までに積極的に悪用されている脆弱性からCitrix NetScalerアプライアンスにパッチを当てるよう指示しました。
複数のサイバーセキュリティ企業がこの脆弱性(CVE-2026-3055)を悪用のリスク増加の原因として指摘しています。これはCitrixが3月23日にセキュリティアップデートをリリースした後のことで、広く悪用されている「CitrixBleed」および「CitrixBleed2」のセキュリティ問題との技術的な類似性を指摘しています。
このセキュリティ上の問題は入力検証不足が原因で、認証されていないリモート攻撃者がSAMLアイデンティティプロバイダー(IDP)として構成されたCitrix ADCまたはCitrix Gatewayアプライアンスから機密情報を窃取するために悪用できます。
サイバーセキュリティ企業Watchtowrは、Citrixがパッチを発行した数日後に、この脆弱性が既に野生で悪用されていることを発見しました。攻撃者はこれを利用して管理者認証セッションIDを窃取でき、パッチが適用されていないNetScalerアプライアンスの完全な乗っ取りを可能にする可能性があると警告しています。
Citrixは既に顧客にNetScalerインスタンスにパッチを当てるよう促し、脆弱性のあるアプライアンスを特定するための詳細なガイダンスを発行していますが、CVE-2026-3055の攻撃が現在進行中であることはまだ確認していません。
Shadowserverは現在、ほぼ30,000台のNetScaler ADCアプライアンスと2,300以上のGatewayインスタンスがオンラインで公開されていることを追跡しています。ただし、脆弱な構成を使用しているか既にパッチが適用されているかについての詳細情報はありません。
月曜日、CISAはCVE-2026-3055脆弱性をその既知の悪用された脆弱性(KEV)カタログに追加し、拘束運用指示(BOD)22-01で義務付けられているように、連邦民間行政府(FCEB)機関に対して4月2日木曜日までに脆弱なCitrixアプライアンスを保護するよう指示しました。
「このタイプの脆弱性は悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府エンタープライズに重大なリスクをもたらします」とサイバーセキュリティ庁は警告しました。「ベンダーの指示に従って軽減措置を適用するか、クラウドサービスに対して適用可能なBOD 22-01ガイダンスに従うか、軽減措置が利用できない場合は製品の使用を中止してください。」
BOD 22-01は米国連邦機関にのみ適用されますが、CISAは民間部門を含むすべての防御者に対して、CVE-2026-3055のパッチ適用を優先し、できるだけ早く組織のデバイスを保護するよう促しました。
2025年8月、CISAはまたCitrixBleed2を積極的に悪用されていると指定し、連邦機関にシステムを保護するための1日を与えました。重大なCitrix Bleed Netscalerの脆弱性は、複数のハッキンググループによってゼロデイとして悪用され、ボーイングなどの有名なテック企業と政府組織に侵害をもたらしましたが、2023年10月にパッチが適用されました。
合計すると、米国のサイバーセキュリティ庁は23のCitrix脆弱性を野生で悪用されていると指定しており、そのうち6つはランサムウェア攻撃で使用されました。
