行業新聞與部落格

安全研究人員證實，Citrix 網路和安全解決方案中的一個嚴重漏洞正在被惡意利用。

Citrix 於 3 月 23 日披露的漏洞編號為 CVE-2026-3055 ，是 NetScaler 應用程式交付控制器 (ADC) 和 NetScaler 閘道器中的一個嚴重越界讀取漏洞，其 CVSS v4.0 嚴重評分為 9.3 。

這兩款產品，以前分別稱為 Citrix ADC 和 Citrix Gateway，是企業用來管理、最佳化和保護應用程式交付和遠端訪問的網路和安全解決方案。

Citrix 的母公司雲軟體集團內部已確認此漏洞為 CVE-2026-3055，原因是輸入驗證不足導致記憶體過度讀取。如果被利用，未經身份驗證的遠端攻擊者可以從裝置記憶體中洩露潛在的敏感資訊。

具體而言，它會影響以下兩個產品版本：

• NetScaler ADC 和 NetScaler Gateway 版本 14.1（14.1-66.59 之前）
• NetScaler ADC 和 NetScaler Gateway 13.1（版本 13.1-62.23 之前）
• NetScaler ADC FIPS 和 NDcPP 13.1-37.262 之前的版本

根據 Citrix 3 月 23 日釋出的公告，這些漏洞僅影響明確配置為 SAML 身份提供程式 (SAML IDP) 的 NetScaler 系統。預設或標準配置不受影響。

此外，只有客戶管理的例項會受到影響，Citrix 管理的雲實例不會受到影響。

客戶可以透過檢查其 NetScaler 配置中是否存在指定的字串“ add authentication samlIdPProfile .* ”來確定其裝置是否已配置為 SAML IDP 配置檔案。

蜜罐活動顯示存在 CVE-2026-3055 漏洞利用

在 3 月 28 日釋出了針對 CVE-2026-3055 的漏洞分析後，watchTowr 的安全研究人員很快證實“該漏洞已被實際利用”。

研究人員根據他們自己的蜜罐網路活動的證據進行了評估，結果顯示，截至 3 月 27 日，已知威脅行為者的源 IP 地址遭到了利用。

他們指出：“對於 Citrix 內部發現的漏洞而言，這是一個令人印象深刻的週轉時間。”

與此同時，Defused 的研究人員也報告稱，3 月 27 日，針對 NetScaler ADC 和 NetScaler Gateway 的身份驗證方法指紋識別活動在實際環境中出現，並指出該活動與 CVE-2026-3055“直接相關”。

他們解釋說：“由於 CVE-2026-3055 僅影響將 ADC 配置為 IDP 的例項，因此這種指紋識別很可能正是針對這種情況。”

3 月 29 日，Defused 的研究人員在 X 上聲稱 CVE-2026-3055 正在被積極地在實際環境中利用。

他們補充道：“攻擊者向 /saml/login 傳送精心構造的 SAMLRequest 有效載荷，省略 AssertionConsumerServiceURL 欄位，從而觸發裝置透過 NSC_TASS cookie 洩露記憶體內容。我們的蜜罐資料顯示，攻擊活動使用了與 Watchtowr 概念驗證相同的有效載荷結構。”

NetScaler 使用者被敦促立即打補丁

WatchTowr 、 Defused 、 Citrix 母公司 Cloud Software Group 以及英國國家網路安全中心 (NCSC) 等機構都敦促立即修補被利用的 NetScaler 漏洞。

相關更新版本包括：

• NetScaler ADC 和 NetScaler Gateway 14.1-66.59 及更高版本
• NetScaler ADC 和 NetScaler Gateway 13.1-62.23 及更高版本的 13.1 版本
• NetScaler ADC 13.1-FIPS 和 13.1-NDcPP 13.1.37.262 及更高版本的 13.1-FIPS 和 13.1-NDcPP

此外，NetScaler 在其 14.1.60.52 版本中引入了一項名為“全域性拒絕列表”的新功能。該功能提供了一種無需重啟即可將即時補丁應用到正在執行的 NetScaler 的方法。

雲軟體集團在 3 月 23 日釋出的安全公告中表示，用於緩解 CVE 2026-3055 的全球拒絕列表簽名已可用。

“請注意，要接收用於全球拒收列表的簽名，您必須使用 NetScaler 控制檯（本地部署的 Cloud Connect 控制檯或控制檯服務）。此外，針對 CVE 2026-3055 的全球拒收列表簽名緩解措施僅適用於 14.1-60.52 和 14.1-60.57 韌體版本，”該公司指出。

“我們建議您採用如上所述的完整補丁版本。全域性拒絕列表功能旨在快速保護您的 NetScaler，以便在計劃的停機維護視窗期間進行升級。”