Citrix NetScaler 重大漏洞 CVE-2026-3055 遭大規模利用，台灣企業應立即評估曝險程度

資安研究人員與威脅情報團隊正針對一個影響 Citrix NetScaler 系列產品的重大漏洞發出緊急警告。追蹤編號為 CVE-2026-3055 的漏洞，通用漏洞評分系統（CVSS）v3.1 評分達 9.3，允許未經身份驗證的遠端攻擊者從目標設備記憶體中洩漏敏感資料，進而可能導致帳號接管與後續入侵。Fortinet 威脅情報團隊已於 2026 年 6 月 2 日正式確認，針對網際網路暴露的 NetScaler 設備的大規模主動攻擊正在持續進行。

漏洞技術概要

CVE-2026-3055 的根本成因是 Citrix NetScaler ADC 與 NetScaler Gateway 在作為安全宣告標記語言識別提供者（Security Assertion Markup Language Identity Provider）運作時，對輸入資料驗證不足，導致記憶體越界讀取問題。攻擊者只需向目標設備的 SAML 端點發送特製請求，即可觸發記憶體越界讀取條件，從而洩漏記憶體中殘留的敏感資料，包括工作階段權杖與使用者認證憑證，並可用於後續的帳號接管攻擊。

根據 CVSS v3.1 向量分析，此漏洞的攻擊向量為網路，攻擊複雜度為低，且不需要任何權限或使用者互動，對機密性、完整性及可用性均構成高度影響。此評分組合代表該漏洞幾乎不存在任何利用門檻。

受影響版本涵蓋 NetScaler ADC 與 NetScaler Gateway 13.1 及 14.1 兩個主要分支的多個版本，包括標準版本、聯邦資訊處理標準（FIPS）版本及 NDcPP 版本。官方安全公告 CTX696300 已列出完整的受影響版本清單與對應修補版本。

攻擊場景與實際影響

NetScaler 系列設備在企業網路架構中扮演關鍵角色，承擔 VPN 終止、負載平衡及基於 SAML 的單一登入（SSO）認證等核心功能，直接部署於網路邊界。SAML IDP 功能負責向下游應用程式簽發 SAML 宣告（Assertion），是整個 SSO 信任體系的核心節點。

一旦攻擊者成功利用此漏洞取得記憶體中的工作階段資料或認證憑證，即可冒充合法使用者身份存取企業內部應用程式，在不需要任何帳號密碼的情況下繞過身份驗證防線，並建立持續性的存取管道。

Fortinet 的威脅情報報告指出，此次大規模攻擊活動延續了 NetScaler 漏洞一貫被積極利用的模式。歷史紀錄顯示，CVE-2023-4966（俗稱 CitrixBleed）與 CVE-2023-3519 均在披露後數日內即遭武器化，被勒索軟體集團及國家級駭客組織用於針對全球數千家企業的攻擊行動。

台灣企業面臨的直接威脅

Citrix NetScaler 系列產品在台灣金融業、製造業、政府機關及大型企業中有相當程度的部署，主要應用於員工遠端存取與跨系統單一登入架構。在遠端辦公需求持續存在的今日，此類邊界設備的安全性直接關係到企業整體資安防線的完整性。

台灣組織需特別警惕的是，大型企業環境中往往存在多台 NetScaler 設備，分散於不同資料中心、災難復原站點或由不同團隊管理。資安團隊應確認組織內所有 NetScaler 設備均已納入盤點，避免遺漏已部署但疏於維護的設備。此外，即便組織認為未啟用 SAML IDP 功能，仍應登入管理介面逐一核實，因為該功能可能在部署過程中意外啟用。管理員可透過檢查設定檔中是否存在 add authentication samlIdPProfile 字串，確認設備是否處於曝險狀態。

建議立即採取的應對措施

Citrix 已發布修補版本，NetScaler ADC 與 NetScaler Gateway 的 13.1 分支應升級至 13.1-62.23 或更新版本（FIPS 及 NDcPP 版本應升級至 13.1-37.262），14.1 分支應升級至 14.1-60.58 或更新版本。Fortinet 亦已發布與此次攻擊活動相關的入侵指標（IoC），建議資安團隊將其導入安全資訊與事件管理（SIEM）系統進行比對分析。

資安人員在完成修補後，應針對 NetScaler 存取日誌及認證日誌進行威脅獵捕（Threat Hunting），重點關注異常的 SAML 宣告活動、來源不明 IP 位址的連線紀錄，以及 SAML 設定或簽章憑證的非預期異動。若懷疑設備曾在漏洞公開後的未修補期間遭到存取，應主動輪換 SAML 簽章憑證，確保即使攻擊者已取得憑證，亦無法持續偽造有效的 SAML 宣告。

鑑於大規模主動利用已獲確認，資安主管應考慮將此次修補作業列為緊急事項，暫時繞過常規變更管理流程，以縮短曝險時間窗口。