Citrix 於 3 月 23 日發布資安公告,揭露存在於 NetScaler ADC 與 NetScaler Gateway 的嚴重漏洞
CVE-2026-3055。此漏洞源於輸入驗證不足 (insufficient input validation),導致記憶體過讀,未經身分驗證的遠端攻擊者可藉此洩漏設備記憶體中的敏感資訊。同一份公告也揭露另一個高嚴重性競態條件 (race condition) 漏洞
CVE-2026-4368。
Citrix 指出,
CVE-2026-3055 僅影響被設定為 SAML 身份提供者 (SAML Identity Provider,SAML IDP) 的設備,且僅限客戶自行管理的地端部署;Citrix 代管的雲端執行個體不受影響。若要判斷自家環境是否採用此設定,可於 NetScaler 設定檔中搜尋字串
add authentication samlIdPProfile .*.。
此漏洞在技術特徵上與 2023 年的 CitrixBleed (CVE-2023-4966) 及 2025 年的 CitrixBleed 2 (
CVE-2025-5777) 高度相似,多家資安業者因此在公告發布初期便警告其遭利用風險極高。
技術分析:不只一個漏洞
資安業者 watchTowr 的研究人員深入分析後指出,CVE-2026-3055 實際上包含至少兩個獨立的記憶體過讀缺陷,並非單一漏洞,並批評 Citrix 在資安公告中的揭露不夠完整。
第一個缺陷影響處理 SAML 身分驗證的端點 /saml/login 。攻擊者可傳送省略 AssertionConsumerServiceURL 欄位的 SAMLRequest payload,觸發設備透過 NSC_TASS Cookie 洩漏記憶體內容,其中可能包含已通過身分驗證的管理員 Session ID。
第二個缺陷則影響用於 WS-Federation 被動式驗證 (WS-Federation passive authentication) 的端點 /wsfed/passive ;當 HTTP 請求中的查詢字串參數 wctx 存在,但缺少對應的值與等號時,就會被觸發。watchTowr 研究員 Aliz Hammond 解釋,未修補的 NetScaler 只會檢查參數是否存在,並不驗證是否具有實際值,因此會直接存取空白的記憶體緩衝區,並將記憶體內容以 Base64 編碼後透過 NSC_TASS Cookie 回傳。
Defused Cyber 也記錄到,攻擊者在大規模利用前會先進行指紋識別的偵查行為,針對蜜罐中的 NetScaler 設備探測 /cgi/GetAuthMethods 端點,以確認目標是否啟用 SAML IDP 設定,藉此篩選出可利用的目標。
從偵查到積極利用
watchTowr 於 3 月 28 日發布漏洞分析報告後,隔日便確認野外利用已開始。根據其蜜罐網路的遙測資料,來自已知威脅行為者 IP 位址的利用嘗試最早可追溯至 3 月 27 日,與 Defused Cyber 的觀測時間點一致。
ShadowServer Foundation 的掃描資料則顯示,截至 3 月 28 日,網際網路上可見的 NetScaler 執行個體約 29,000 台、NetScaler Gateway 約 2,250 台,但其中未完成修補的比例目前仍不明。
以下版本皆受 CVE-2026-3055 影響:
- NetScaler ADC 及 NetScaler Gateway 14.1:早於 14.1-66.59
- NetScaler ADC 及 NetScaler Gateway 13.1:早於 13.1-62.23
- NetScaler ADC FIPS 及 NDcPP 13.1:早於 13.1-37.262
修補與緩解建議
英國國家網路安全中心(NCSC)及海外眾多資安業者與專家皆強烈建議管理員立即套用修補。NetScaler 自 14.1.60.52 版起新增「Global Deny List」功能,可在無需重新開機的情況下提供即時緩解;但 Cloud Software Group 仍建議最終以升級至已完整修補的版本為目標。
- NetScaler ADC 及 NetScaler Gateway:升級至 14.1-66.59 或更新版本
- NetScaler ADC 及 NetScaler Gateway 13.1 系列:升級至 13.1-62.23 或更新版本
- NetScaler ADC FIPS 及 NDcPP 13.1 系列:升級至 13.1-37.262 或更新版本
管理員即時行動清單
- 確認設備是否設定為 SAML IDP:在設定檔中搜尋 add authentication samlIdPProfile .*.
- 若使用 14.1-60.52 或 14.1-60.57 版本,可先透過 NetScaler Console 啟用 Global Deny List 簽章作為暫時緩解
- 依上方版本清單儘速完成升級,並於排程的維護視窗內完成正式修補
- 使用 watchTowr 提供的 Python 偵測腳本掃描環境中的受影響主機
- 檢查 NSC_TASS Cookie 是否出現異常回應內容,以確認是否已遭利用
- 美國FCEB 聯邦機構須於 2026 年 4 月 2 日前完成修補(美國CISA KEV 要求)
本文轉載自 BleepingComputer、TheHackerNews、InfosecurityMagazine。