Citrix NetScalerの重大脆弱性、実攻撃での悪用が始まる
Citrix NetScaler ADCおよびNetScaler Gatewayに存在する重大な脆弱性(CVE-2026-3055)が、攻撃者によって実際に悪用されていることが確認された。セキュリティ研究企業のwatchTowrが2026年3月29日(土)に報告したもので、認証済み管理者セッションIDの窃取を通じてアプライアンスの完全制御を奪われる可能性がある。
脆弱性の概要
Citrixは3月23日のセキュリティ情報でCVE-2026-3055を公開した。同時に、高深刻度の競合状態(レースコンディション)の脆弱性CVE-2026-4368も開示されている。影響を受けるバージョンは以下のとおり。
- NetScaler ADC / NetScaler Gateway 14.1-60.58 未満
- 同 13.1-62.23 未満
- 同 13.1-37.262 未満
この脆弱性は、SAML IDプロバイダー(IDP)として構成されているアプライアンスにのみ影響し、オンプレミス運用の管理者のみが対応を求められる。クラウドマネージドの環境は対象外とされている。
「CitrixBleed」との類似性を指摘
複数のセキュリティ企業は、CVE-2026-3055が2023年に猛威を振るった「CitrixBleed」および2025年の「CitrixBleed2」と技術的に酷似していると警告している。これらの脆弱性はいずれもメモリ読み取り(メモリオーバーリード)の問題であり、認証セッション情報の漏洩につながる点が共通している。
watchTowrの分析では、CVE-2026-3055は実際には2つの独立したメモリオーバーリードバグを含むことが判明した。
/saml/loginエンドポイント(SAMLによる認証処理に関連)/wsfed/passiveエンドポイント(WS-Federationパッシブ認証に関連)
実攻撃の状況
watchTowrのハニーポットネットワークでは、少なくとも3月27日から既知の脅威アクターのIPアドレスによる悪用が確認されており、同社は「すでに野生での攻撃が始まっている」と明言している。攻撃者はこの脆弱性を使って認証済み管理者セッションIDを抜き出すことができ、NetScalerアプライアンスの完全乗っ取りが可能な状態だ。
ShadowServer Foundationの調査によると、3月28日時点でインターネット上に公開されているNetScalerインスタンスは約2万9,000台、Gatewayインスタンスは約2,250台に上るとされているが、このうち脆弱なバージョンがどの程度を占めるかは不明だ。
対応策
Citrixは利用者に対して速やかなパッチ適用を推奨している。watchTowrは脆弱なホストを特定するためのPythonスクリプトも公開しており、管理者は自環境の調査に活用できる。
なお、本稿執筆時点でCitrixの公式セキュリティ情報にはCVE-2026-3055の実悪用に関する言及がなく、watchTowrはCitrixの開示内容が「不誠実」だと批判している。
日本国内でもNetScalerは大手企業やISPを中心に広く採用されているため、オンプレミス環境を管理する担当者は早急なバージョン確認とアップデートを強く推奨する。
元記事: Critical Citrix NetScaler memory flaw actively exploited in attacks