Citrix NetScaler ADCのメモリ読み取り脆弱性CVE-2026-3055にアクティブな偵察活動が進行中
Citrix NetScaler ADCとNetScaler Gatewayに影響するクリティカルな脆弱性 CVE-2026-3055 に対して、攻撃者によるアクティブな偵察スキャンが進行中だ。セキュリティ企業の Defused Cyber と watchTowr がそれぞれ独立にハニーポットで観測している。
この脆弱性はCVSS 9.3(v4.0)の境界外読み取り(Out-of-Bounds Read)で、NetScalerをSAML IdP(Identity Provider)として構成している場合に影響する。認証不要・ユーザー操作不要で、アプライアンスのメモリからセッショントークンや認証情報を含む機密データを窃取できる。
NetScalerプラットフォームでは2023年のCitrixBleed(CVE-2023-4966)、2025年のCitrixBleed2(CVE-2025-5777)と、メモリ開示系の脆弱性が繰り返し見つかっている。watchTowrはブログで「続編は前作ほど良くはない、でもまだ痛い」と皮肉っており、構造的なメモリ管理の脆弱さを指摘した。
脆弱性の仕組み
CVE-2026-3055の根本原因は、CベースのSAML XMLパーサーにおける入力バリデーション不備にある。
SAML認証リクエストを受け取る /saml/login エンドポイントに、AssertionConsumerServiceURL パラメータを欠いた不正なSAMLRequestをPOSTすると、パーサーが確保済みバッファの境界を超えて隣接メモリ領域を読み取ってしまう。読み取られたデータはHTTPレスポンスの NSC_TASS セッションCookieに含まれて返される。
graph TD
A["攻撃者が /saml/login に<br/>不正なSAMLRequest送信"] --> B["XMLパーサーが<br/>AssertionConsumerServiceURL<br/>パラメータ欠如を処理"]
B --> C["入力バリデーション不備で<br/>バッファ境界を超えて読み取り"]
C --> D["隣接メモリの内容を<br/>NSC_TASS Cookieに格納"]
D --> E["レスポンスとして<br/>メモリ内容が攻撃者に返る"]
E --> F["セッショントークン<br/>認証情報の断片を取得"]漏洩するデータには以下が含まれる。
| 漏洩データの種類 | 内容 |
|---|---|
| セッショントークン断片 | アクティブなユーザーセッションの残留データ。MFAバイパスに利用される可能性がある |
| 認証パラメータ | 直前のリクエストに含まれていた認証関連の値 |
| メモリマーカー | 0xdeadbeef などのデバッグ用マーカー(解放済みメモリの痕跡) |
| その他の残留データ | 隣接するメモリアロケーションの内容 |
1回のリクエストで漏洩するデータは約100バイトで、NULLバイトで終端される制約がある。完全なクレデンシャル抽出は困難だが、セッションCookieのようにNULL文字を含まない値は丸ごと取得できる可能性がある。Heartbleed(CVE-2014-0160)と同様の「少量ずつ繰り返し読み出す」攻撃パターンが成立するため、油断はできない。
偵察活動の詳細
Defused Cyberは「Citrixハニーポットで認証メソッドのフィンガープリンティング活動を観測している」と報告した。攻撃者がスキャンしているのは /cgi/GetAuthMethods エンドポイントで、これはNetScalerで有効化されている認証フロー(SAML、LDAP、RADIUS等)を列挙するためのものだ。
狙いは明確で、脆弱性の前提条件である「SAML IdPとして構成されたNetScaler」を特定することにある。デフォルト構成のNetScalerは影響を受けないため、攻撃者にとってはまずSAML IdP構成のアプライアンスを見つけ出すことが最初のステップになる。
現時点でPoCコードの公開や実際のエクスプロイト成功は確認されていないが、Rapid7やArctic Wolfは「低い攻撃複雑性と過去のNetScaler脆弱性の武器化スピードを考慮すると、PoCが公開され次第、急速に攻撃が拡大する」と警告している。
同時公開のCVE-2026-4368
Citrixはセキュリティブレティン CTX696300 で、CVE-2026-3055と並んでもう1件の脆弱性CVE-2026-4368も公開した。
CVE-2026-4368はCVSS 7.7のレースコンディションで、Gateway(SSL VPN、ICA Proxy、CVPN、RDP Proxy)またはAAA仮想サーバーとして構成されたアプライアンスに影響する。認証済みセッション間でタイミング依存のセッション混同が発生し、別のユーザーのリソースやセッション状態に不正アクセスできる。CVE-2026-3055と異なり認証が必要で、影響を受けるのもビルド14.1-66.54のみと範囲は限定的だ。
影響を受けるバージョンとパッチ
影響を受けるバージョンとパッチ適用済みバージョンは以下のとおり。
| 製品 | 影響バージョン | パッチ適用済みバージョン |
|---|---|---|
| NetScaler ADC / Gateway 14.1 | 14.1-66.59 より前 | 14.1-66.59 |
| NetScaler ADC / Gateway 13.1 | 13.1-62.23 より前 | 13.1-62.23 |
| NetScaler ADC 13.1-FIPS | 13.1-37.262 より前 | 13.1-37.262 |
| NetScaler ADC 13.1-NDcPP | 13.1-37.262 より前 | 13.1-37.262 |
Citrixマネージドのクラウドインスタンスは影響を受けない。顧客が自前で管理しているオンプレミスインスタンスのみが対象となる。
脆弱性の判別方法
自組織のNetScalerがSAML IdPとして構成されているかどうかは、設定内に add authentication samlIdPProfile が含まれるかで確認できる。
パッチ適用済みかどうかのもう一つの判別方法として、/saml/login に不正なリクエストを送った場合の挙動がある。未パッチのシステムはレスポンスに NSC_TASS Cookieを含めて返す。パッチ適用済みのシステムは「Parsing of presented Assertion failed; Please contact your administrator」というエラーメッセージで拒否する。
なお、エクスプロイトが実行された場合、/var/log/ns.log(詳細ログ有効時)に診断エントリが記録されるため、フォレンジック調査の手がかりになる。
先日の F5 BIG-IP APMの未認証RCE でもそうだったが、ネットワークアプライアンスのクリティカル脆弱性は偵察からエクスプロイトまでの時間が極めて短い。SAML IdP構成のNetScalerを運用している組織は、パッチ適用を急ぐ必要がある。