脆弱性の概要
Citrix NetScaler ADCおよびNetScaler Gatewayに、CVSSスコア9.3の深刻な脆弱性CVE-2026-3055が発見された。この脆弱性は入力検証の不備に起因するメモリ過剰読み取り(out-of-bounds read)であり、攻撃者がデバイスメモリからアクティブなセッショントークンを抽出できる可能性がある。悪用の条件として、対象アプライアンスがSAML Identity Provider(SAML IDP)として構成されている必要があるが、Rapid7は「シングルサインオンを利用する組織ではSAML IDP構成は非常に一般的」と指摘しており、影響範囲は広いとみられる。
影響を受けるバージョンと修正パッチ
影響を受けるのは以下のバージョンで、いずれもパッチが既に提供されている。
- NetScaler ADCおよびNetScaler Gateway 14.1(14.1-66.59より前)
- NetScaler ADCおよびNetScaler Gateway 13.1(13.1-62.23より前)
- NetScaler ADC 13.1-FIPSおよび13.1-NDcPP(13.1-37.262より前)
この脆弱性はCitrixの社内セキュリティレビューで発見され、2026年3月24日に公開された。Cloud Software GroupのシニアVPであるAnil Shetty氏は「CVE-2026-3055およびCVE-2026-4368について、未修正の環境に対する悪用は現時点で確認していない」と述べている。
野生環境での偵察活動とCitrix Bleedとの類似性
セキュリティ企業Defused CyberおよびwatchTowrの研究者らは、野生環境での積極的な偵察活動を確認している。攻撃者は/cgi/GetAuthMethodsエンドポイントに対してリクエストを送信し、有効な認証フローを列挙することで脆弱な構成を特定しようとしている。Defused Cyberは「NetScaler ADC/Gatewayに対する認証方式のフィンガープリンティング活動を野生環境で観測している」と報告し、watchTowrは「偵察から悪用への移行が進めば、対応の猶予は急速に消滅する」と警告した。
本脆弱性は、過去に大規模な被害をもたらしたCVE-2023-4966(Citrix Bleed)やCVE-2025-5777(Citrix Bleed 2)と類似した手口であり、これらの脆弱性と同様に攻撃者がパッチのリバースエンジニアリングによってエクスプロイトを迅速に開発する可能性が懸念されている。セキュリティ専門家は、SAML IDP構成を使用しているシステムを最優先でパッチ適用するとともに、ネットワークレベルでのアクセス制御を強化することを強く推奨している。