Hackers Probe Citrix NetScaler Instances Ahead of Likely CVE-2026-3055 Exploitation
2026/03/29 CyberSecurityNews — Citrix の NetScaler ADC/Gateway アプライアンスに存在する深刻な脆弱性の実環境での悪用が差し迫っていると、サイバー・セキュリティ研究者たちが警告している。脅威インテリジェンス企業 watchTowr と Defused Cyber が、NetScaler の脆弱性 CVE-2026-3055 を標的とするアクティブな偵察活動を検出した。この脆弱性は高深刻度のメモリ読み取りの欠陥であり、未認証の攻撃者に対して機密データの抽出を許すものである。
Citrix の NetScaler の影響を受けるインスタンスを利用している組織は、偵察フェーズから本格的な攻撃への移行の前に、直ちにパッチを適用する必要がある。
ハニーポット・ネットワークで取得されたテレメトリによると、攻撃者は POST リクエストを用いて NetScaler アプライアンスを調査し、脆弱な認証コンフィグを特定している。
Citrix NetScaler 脆弱性
脆弱性 CVE-2026-3055 (CVSS:9.3) は、不十分な入力検証に起因し、境界外メモリ読み取りを引き起こすものだ。
NetScaler ADC/Gateway が、SAML Identity Provider (SAML IdP) としてコンフィグされている場合に、この脆弱性による影響が生じる。このコンフィグ構成は、エンタープライズ環境における SSO (single sign-on) やクラウド連携で広く利用されているため、攻撃対象範囲は広い。
この問題は、過去の “CitrixBleed” と類似しており、メモリ内容を漏洩させる攻撃経路を、未認証の攻撃者に提供してしまう。この脆弱性を悪用する攻撃者は、ユーザー操作を必要とせず、細工されたリクエストを SAML エンドポイントに送信することでリモートからトリガーできる。
watchTowr の Attacker Eye ハニーポット・ネットワークでは、インターネット公開された NetScaler 環境に対するスキャン活動が確認されている。現在の偵察活動は、認証方式のフィンガープリント取得に集中している。攻撃者は “/cgi/GetAuthMethods” エンドポイントに対して HTTP POST リクエストを送信し、認証フローを列挙している。
このスキャンの手法は、脆弱性 CVE-2026-3055 の悪用条件と関連するものだ。レスポンスを解析することで、対象が SAML IdP として動作しているかどうかを特定できる。
この手法により攻撃者は、無差別な攻撃を回避しながら、脆弱なシステムだけを選別し、攻撃対象リストを効率よく構築できる。
この種のコンフィグ認識型の偵察が示すのは、攻撃者の高度な意図と能力である。セキュリティ専門家たちは、偵察から大規模攻撃への移行までの時間が、きわめて短いはずだと警告している。
SAML IdP として NetScaler を運用している管理者には、即時の対応が求められる。ユーザー組織にとって必要なことは、重要ではない業務を一時停止しても、最新の Citrix セキュリティ更新の適用を優先し、境界アイデンティティ基盤の防御を強化することである。
訳者後書:Citrix の NetScaler ADC/Gateway に存在する深刻な脆弱性 CVE-2026-3055 (CVSS 9.3) と、それを狙う偵察活動について解説する記事です。この問題の原因は、SAML 認証の設定が行われている NetScaler における入力値の不十分な検証により、メモリ内のデータが読み取られてしまう “境界外メモリ読み取り” にあります。
この脆弱性は、過去に大きな被害を出した “CitrixBleed” と似た性質を持っており、メモリに一時的に保存されているセッション情報などの機密データが、特殊なリクエストを送信する認証前の攻撃者に盗み取られてしまいます。 現在、脆弱性の有無を特定するためのスキャンが活発化しているとされます。ご利用のチームは、ご注意ください。よろしければ、CVE-2026-3055 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.