各位
https://www.jpcert.or.jp/at/2026/at260008.html
I. 概要2026年3月23日(現地時間)、Cloud Software Groupは、Citrix NetScaler ADCおよびNetScaler Gatewayに関する2件の脆弱性(CVE-2026-3055、CVE-2026-4368)情報を公表しました。これらの脆弱性のうち、CVE-2026-3055は境界外読み取りの脆弱性で、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があります。
Cloud Software Group
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2026-3055 and CVE-2026-4368
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300
本脆弱性は、同製品で過去に悪用が確認されているCitrix Bleed(CVE-2023-4966)およびCitrix Bleed 2(CVE-2025-5777)の脆弱性との類似点が海外セキュリティ企業によって指摘されています。また、2026年3月31日時点で海外のセキュリティ企業から、悪用に関する観測情報や詳細な技術情報を解説するレポートが公表されております。(詳細は、「VI. 参考情報」を参照)
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」以降に記載の情報を確認の上、対策の実施および侵害有無の調査などを検討してください。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Cloud Software Groupが提供する最新の情報をご確認ください。
境界外読み取りの脆弱性(CWE-125、CVE-2026-3055)
- NetScaler ADCおよびNetScaler Gateway14.1-60.58より前のバージョン
- NetScaler ADCおよびNetScaler Gateway13.1-62.23より前のバージョン
- NetScaler ADC FIPSおよびNDcPP 13.1-37.262より前のバージョン
※Citrix ADCまたはCitrix GatewayをSAML IDPとして構成している場合に影響を受けます
競合状態の脆弱性(CWE-362、CVE-2026-4368)
- NetScaler ADCおよびNetScaler Gateway 14.1-66.54
※アプライアンスをゲートウェイ(SSL VPN、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成している場合に影響を受けます
III. 対策Cloud Software Groupは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。詳細は、開発者が提供する最新の情報を確認してください。
IV. 回避策Cloud Software Groupは、本脆弱性に対する回避策を提供していません。
V. 侵害検出方法watchTowr Labsによると、CVE-2026-3055を悪用する攻撃の試行は次のエンドポイントへのアクセスによって行われるとのことです。通常運用で想定されない送信元IPからの下記エンドポイントへのアクセスがログに記録されていないか確認してください。
- "/saml/login"に細工したPOSTリクエストを送信する
- "/wsfed/passive?wctx"にGETリクエストを送信する
また、watchTowr Labsは、DEBUGレベルのログを有効化している場合、"/var/log/ns.log"に意図しない文字列が挿入される点を指摘しています。詳細はwatchTowr Labsの情報をご確認ください。侵害が疑われる場合は、メーカーへの問い合わせも検討してください。
VI. 参考情報
・悪用観測情報
Defused / X
https://x.com/DefusedCyber/status/2038266417091326156
本脆弱性を悪用したと思われる攻撃について自組織のハニーポットでの観測
・技術解説情報
watchTowr Labs
The Sequels Are Never As Good, But We're Still In Pain (Citrix NetScaler CVE-2026-3055 Memory Overread)
https://labs.watchtowr.com/the-sequels-are-never-as-good-but-were-still-in-pain-citrix-netscaler-cve-2026-3055-memory-overread/
watchTowr Labs
Please, We Beg, Just One Weekend Free Of Appliances (Citrix NetScaler CVE-2026-3055 Memory Overread Part 2)
https://labs.watchtowr.com/please-we-beg-just-one-weekend-free-of-appliances-citrix-netscaler-cve-2026-3055-memory-overread-part-2/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2026-0008
JPCERT/CC
2026-03-31
JPCERT/CC Alert 2026-03-31
NetScaler ADCおよびNetScaler Gatewayにおける境界外読み取りの脆弱性(CVE-2026-3055)に関する注意喚起https://www.jpcert.or.jp/at/2026/at260008.html
I. 概要2026年3月23日(現地時間)、Cloud Software Groupは、Citrix NetScaler ADCおよびNetScaler Gatewayに関する2件の脆弱性(CVE-2026-3055、CVE-2026-4368)情報を公表しました。これらの脆弱性のうち、CVE-2026-3055は境界外読み取りの脆弱性で、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があります。
Cloud Software Group
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2026-3055 and CVE-2026-4368
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300
本脆弱性は、同製品で過去に悪用が確認されているCitrix Bleed(CVE-2023-4966)およびCitrix Bleed 2(CVE-2025-5777)の脆弱性との類似点が海外セキュリティ企業によって指摘されています。また、2026年3月31日時点で海外のセキュリティ企業から、悪用に関する観測情報や詳細な技術情報を解説するレポートが公表されております。(詳細は、「VI. 参考情報」を参照)
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」以降に記載の情報を確認の上、対策の実施および侵害有無の調査などを検討してください。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Cloud Software Groupが提供する最新の情報をご確認ください。
境界外読み取りの脆弱性(CWE-125、CVE-2026-3055)
- NetScaler ADCおよびNetScaler Gateway14.1-60.58より前のバージョン
- NetScaler ADCおよびNetScaler Gateway13.1-62.23より前のバージョン
- NetScaler ADC FIPSおよびNDcPP 13.1-37.262より前のバージョン
※Citrix ADCまたはCitrix GatewayをSAML IDPとして構成している場合に影響を受けます
競合状態の脆弱性(CWE-362、CVE-2026-4368)
- NetScaler ADCおよびNetScaler Gateway 14.1-66.54
※アプライアンスをゲートウェイ(SSL VPN、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成している場合に影響を受けます
III. 対策Cloud Software Groupは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。詳細は、開発者が提供する最新の情報を確認してください。
IV. 回避策Cloud Software Groupは、本脆弱性に対する回避策を提供していません。
V. 侵害検出方法watchTowr Labsによると、CVE-2026-3055を悪用する攻撃の試行は次のエンドポイントへのアクセスによって行われるとのことです。通常運用で想定されない送信元IPからの下記エンドポイントへのアクセスがログに記録されていないか確認してください。
- "/saml/login"に細工したPOSTリクエストを送信する
- "/wsfed/passive?wctx"にGETリクエストを送信する
また、watchTowr Labsは、DEBUGレベルのログを有効化している場合、"/var/log/ns.log"に意図しない文字列が挿入される点を指摘しています。詳細はwatchTowr Labsの情報をご確認ください。侵害が疑われる場合は、メーカーへの問い合わせも検討してください。
VI. 参考情報
・悪用観測情報
Defused / X
https://x.com/DefusedCyber/status/2038266417091326156
本脆弱性を悪用したと思われる攻撃について自組織のハニーポットでの観測
・技術解説情報
watchTowr Labs
The Sequels Are Never As Good, But We're Still In Pain (Citrix NetScaler CVE-2026-3055 Memory Overread)
https://labs.watchtowr.com/the-sequels-are-never-as-good-but-were-still-in-pain-citrix-netscaler-cve-2026-3055-memory-overread/
watchTowr Labs
Please, We Beg, Just One Weekend Free Of Appliances (Citrix NetScaler CVE-2026-3055 Memory Overread Part 2)
https://labs.watchtowr.com/please-we-beg-just-one-weekend-free-of-appliances-citrix-netscaler-cve-2026-3055-memory-overread-part-2/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
