Citrixネットワークアプライアンス内のアーキテクチャ上の脆弱性は、最近まで潜在的な危険として特徴付けられていましたが、現在ではサイバー攻撃者によって積極的に悪用されています。これらの攻撃はセキュリティパッチの公開直後にほぼ即座に始まり、攻撃者がシステムへのアクセスに必要な最高権限の認証情報を傍受することを可能にしています。
これは追跡されているCVE-2026-3055として知られる重大な脆弱性に関するもので、Citrix NetScaler ADCとCitrix NetScaler Gatewayに影響を与えています。この脆弱性を通じて、悪意のある攻撃者は管理者セッションIDを含む機密情報への不正アクセスを取得でき、この情報はデバイスの完全な乗っ取りへの道を開きます。
Citrixは3月23日にこの脆弱性の存在を公表し、同時に別の高度な重大度の異常を明かしました。この脆弱性は14.1-60.58、13.1-62.23、および13.1-37.262より前のバージョンに影響を及ぼします。重要なことに、この問題はSAML ID Providerとして構成されたハードウェアでのみ発生し、オンプレミス環境に限定されています。
この状況は情報セキュリティの専門家の注意を急速に引きました。watchTowrによる評価によれば、このエクスプロイトの動作メカニズムは2023年と2025年にシステムを破壊した「CitrixBleed」と「CitrixBleed2」の攻撃を想起させるものです。
watchTowrの最前線チームは、大規模な悪用が始まる前からすでに疑わしい活動を検出していました。3月27日までに、ハッカーはすでにこの脆弱性の実際の悪用を開始していました。ハニーポット環境内では、悪名高い悪意のあるアドレスからのリクエストが記録され、アクティブな悪用の始まりが確認されました。
フォレンジック解析により、CVE-2026-3055は実は少なくとも2つのメモリ読み取り異常を含んでいることが明らかになりました。1つはSAML認証処理に密接に関連しており、もう1つはWS-Federationパッシブ認証メカニズムに関連しています。両者ともデバイスの揮発性メモリから直接、管理者セッションを含む情報を流出させることを可能にしています。
専門家によれば、公式のセキュリティ情報での説明は残念ながら不完全でした。デジタルセキュリティ専門家の努力を支援するため、ネットワーク内の脆弱なアプライアンスを特定するのに役立つPythonスクリプトが公開されています。
現在のところ、Citrixは公式の発表で悪用事例を正式に確認していません。一方、The ShadowServer Foundationのデータによれば、約29,000台のNetScalerデバイスと追加の2,250台のゲートウェイが世界中のネットワークでアクセス可能な状態にあります。実際に脆弱な状態にあるデバイスの正確な数は、現在のところまだ不明確です。
