Citrix、NetScalerの重大脆弱性にパッチ公開——「CitrixBleed」に酷似した新たな危機

Citrix、NetScalerの重大脆弱性にパッチ——「CitrixBleed」の再来か

Citrixを傘下に持つCloud Software Groupは、NetScaler ADCおよびNetScaler Gatewayに影響する2件の脆弱性にパッチを公開し、管理者に対して可能な限り早急な適用を呼びかけている。

CVE-2026-3055：セッショントークン窃取の恐れ

最も深刻度が高い脆弱性がCVE-2026-3055（Critical）だ。SAML IDプロバイダー（IDP）として設定されたNetScaler ADCまたはGatewayにおいて、不十分な入力検証によりメモリの過剰読み出し（メモリオーバーリード）が発生する。権限を持たないリモートの攻撃者がセッショントークンなどの機密情報を奪取できる可能性があり、セキュリティ研究者の間では過去に深刻な被害を与えた「CitrixBleed（CVE-2023-4966）」および「CitrixBleed2」との類似性が強く指摘されている。

セキュリティ企業watchTowrは「2023年に広く悪用されたCitrixBleedと、2025年に公開されたCitrixBleed2の両脆弱性はいまも実際の攻撃に使われ続けている。今回の脆弱性はそれらと酷似しており、脅威アクターがパッチをリバースエンジニアリングして悪用コードを開発しようとすることは容易に想定される」と警告している。

またRapid7は「CVE-2026-3055は、エクスプロイトコードが公開された時点で悪用が発生する可能性が高い」とし、影響を受けるシステムへの即時対応を促している。

CVE-2026-4368：セッション混線の危険性

2件目の脆弱性CVE-2026-4368は、GatewayとしてSSL VPN、ICAプロキシ、CVPN、RDPプロキシなどで設定されたアプライアンス、またはAAA仮想サーバーに影響する。低権限の攻撃者がレースコンディションを低複雑度の攻撃で悪用することにより、ユーザーセッションの混線（セッションミックスアップ）を引き起こす可能性がある。

影響を受けるバージョンと修正版

製品バージョン 修正版

NetScaler ADC / Gateway 13.1 13.1-62.23

NetScaler ADC / Gateway 14.1 14.1-66.59

NetScaler ADC 13.1-FIPS / 13.1-NDcPP 13.1-37.262

露出しているインスタンスは3万件超

インターネット監視組織Shadowserverの追跡によると、現在オンライン上に露出しているNetScaler ADCインスタンスは3万件超、Gatewayインスタンスは2,300件超に上る。ただし、脆弱な設定のままになっているものがどれだけあるかは現時点で不明だ。

過去の教訓——CitrixBleedは今も進行中

2025年8月には米CISA（サイバーセキュリティ・インフラセキュリティ庁）がCitrixBleed2を積極的に悪用されている脆弱性として登録し、連邦機関に対して1日以内の対処を命じた。CISAはこれまでにCitrix製品の脆弱性21件を「実際に悪用済み」と指定しており、うち7件はランサムウェア攻撃に利用された。

NetScalerは世界中の企業ネットワークで広く使われているため、日本国内でも多くの組織が影響を受ける可能性がある。Citrixは脆弱なインスタンスを特定してパッチを当てるための詳細なガイダンスも公開しており、管理者は直ちに確認・対応することを強く推奨する。

元記事: Citrix urges admins to patch NetScaler flaws as soon as possible