Οι ερευνητές στον τομέα της κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για την επικείμενη εκμετάλλευση μιας κρίσιμης ευπάθειας που αποκαλύφθηκε πρόσφατα στις συσκευές Citrix NetScaler ADC και Gateway.
Η εταιρεία πληροφοριών απειλών watchTowr και Defused Cyber έχουν εντοπίσει ενεργές εκστρατείες αναγνώρισης που στοχεύουν ειδικά το CVE-2026-3055, ένα ελάττωμα υπερβολικής ανάγνωσης μνήμης υψηλής σοβαρότητας που θα μπορούσε να επιτρέψει σε μη επιβεβαιωμένους εισβολείς να εξάγουν ευαίσθητα δεδομένα.
Οι οργανισμοί που βασίζονται σε επηρεαζόμενες περιπτώσεις Citrix καλούνται να εφαρμόσουν ενημερώσεις κώδικα αμέσως πριν τη μετάβαση της φάσης αναγνώρισης σε εκστρατείες επίθεσης πλήρους κλίμακας.
Η τηλεμετρία που καταγράφηκε από δίκτυα honeypot δείχνει τους παράγοντες απειλών να χρησιμοποιούν ενεργά αιτήματα POST για να διερευνήσουν συσκευές NetScaler και να αποκαλύψουν ευάλωτες ρυθμίσεις ελέγχου ταυτότητας.
Ευπάθεια Citrix NetScaler
Έχοντας εκχωρηθεί βαθμολογία CVSS 9,3, το CVE-2026-3055 προέρχεται από ανεπαρκή επικύρωση εισόδου που οδηγεί σε κατάσταση ανάγνωσης μνήμης εκτός ορίων εντός της συσκευής.
Για να είναι ευάλωτο, το NetScaler ADC ή η πύλη πρέπει να ρυθμιστεί ρητά ώστε να λειτουργεί ως πάροχος ταυτότητας SAML (SAML IdP). Επειδή αυτό το προφίλ ομοσπονδίας ταυτότητας αναπτύσσεται συνήθως σε περιβάλλοντα ενιαίας σύνδεσης (SSO) για τη διευκόλυνση των ενσωματώσεων υπηρεσιών cloud, η πιθανή επιφάνεια επίθεσης παραμένει σημαντική.
Η ευπάθεια σχετίζεται με παραλληλισμούς με τα περιβόητα exploits του «CitrixBleed» των προηγούμενων ετών, καθώς παρέχει στους φορείς απειλών έναν καθαρά μη πιστοποιημένο μηχανισμό διαρροής και ανάγνωσης ευαίσθητων περιεχομένων μνήμης από στοχευμένες εταιρικές αναπτύξεις.
Το ελάττωμα δεν απαιτεί αλληλεπίδραση με τον χρήστη και μπορεί να ενεργοποιηθεί εξ αποστάσεως μέσω αιτημάτων δικτύου που έχουν δημιουργηθεί κακόβουλα και κατευθύνονται στο ευάλωτο τελικό σημείο SAML.
Μέσω του παγκόσμιου δικτύου Honeypot Attacker Eye, η WatchTowr έχει παρατηρήσει παράγοντες απειλών που διερευνούν ενεργά την υποδομή NetScaler που αντιμετωπίζει το Διαδίκτυο για τον εντοπισμό ευάλωτων διαμορφώσεων.
Η τρέχουσα αναγνωριστική δραστηριότητα επικεντρώνεται κυρίως στη λήψη δακτυλικών αποτυπωμάτων με τη μέθοδο ελέγχου ταυτότητας μέσω προγραμματισμού. Η τηλεμετρία αποκαλύπτει ότι οι επιτιθέμενοι στοχεύουν σε μεγάλο βαθμό το /cgi/GetAuthMethods τελικό σημείο με αιτήματα HTTP POST για συστηματική απαρίθμηση των ενεργοποιημένων ροών ελέγχου ταυτότητας σε εκτεθειμένες παρουσίες.
Αυτή η συγκεκριμένη τεχνική ανίχνευσης συνδέεται άμεσα με τις απαιτήσεις περιβαλλοντικής εκμετάλλευσης του CVE-2026-3055. Αναλύοντας τις απαντήσεις από το /cgi/GetAuthMethods τελικό σημείο, οι παράγοντες απειλών μπορούν να προσδιορίσουν με ακρίβεια εάν μια παρουσία στοχευόμενου NetScaler έχει διαμορφωθεί ως SAML IdP.
Αυτό επιβεβαιώνει την ευαισθησία του στην υπεραναγνωσμένη εκμετάλλευση μνήμης χωρίς να χρειάζεται να ξεκινήσει την επίθεση στα τυφλά. Αυτό το φιλτράρισμα μέσω προγραμματισμού επιτρέπει στους επιτιθέμενους να δημιουργούν αποτελεσματικά εξαιρετικά στοχευμένες λίστες επισκέψεων ευάλωτων συσκευών για επικείμενες εκστρατείες μαζικής εκμετάλλευσης.
Ο εντοπισμός συγκεκριμένων δακτυλικών αποτυπωμάτων με επίγνωση των παραμέτρων υποδεικνύει υψηλό επίπεδο πρόθεσης και ικανότητας εισβολέα. Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ρητά ότι το παράθυρο μεταξύ αυτής της εξειδικευμένης αναγνώρισης και της ευρείας ενεργητικής εκμετάλλευσης κλείνει γρήγορα.
Οι διαχειριστές που λειτουργούν παρουσίες NetScaler ως SAML IdP αντιμετωπίζουν μια οξεία και άμεση εντολή ενημέρωσης κώδικα. Συνιστάται στους οργανισμούς να σταματήσουν τις μη κρίσιμες επιχειρησιακές εργασίες για να δώσουν προτεραιότητα στην άμεση ανάπτυξη των πιο πρόσφατων ενημερώσεων ασφαλείας Citrix, διασφαλίζοντας ότι η περιμετρική υποδομή ταυτότητάς τους παραμένει ανθεκτική έναντι αυτής της κρίσιμης αρχιτεκτονικής απειλών.
