【 資安警訊 】- Citrix NetScaler 重大漏洞 CVE-2026-3055 出現大規模掃描偵察,攻擊者鎖定 SAML IDP 設備
發布編號:OIS-CTI-2026-04-001
情資來源: iThome、watchTowr、Defused Cyber
事件類型:漏洞偵察、未經授權存取、記憶體越界讀取 (Out-of-Bounds Read)
內容說明:
Citrix 於 2026 年 3 月 23 日修補了 NetScaler ADC 與 NetScaler Gateway 的重大漏洞 CVE-2026-3055。資安業者 watchTowr 與 Defused Cyber 近期監測到,網路上已出現針對此弱點的大規模主動偵察與掃描活動。
此漏洞的技術特性與威脅細節如下:
成因: 輸入驗證不充分導致的記憶體越界讀取(Out-of-Bounds Read)。
影響範圍: 僅影響被設置為 SAML 身分驗證提供者 (IDP) 服務的 NetScaler 設備。
風險評估: CVSS 4.0 評分高達 9.3,屬於「重大風險 (Critical)」等級。
攻擊偵測: 攻擊者目前正試圖探測路徑 /cgi/GetAuthMethods,藉此辨識是否存在身分驗證弱點。由於此路徑涉及身分驗證流程,若漏洞遭到利用,攻擊者可能獲取敏感的記憶體資訊或繞過驗證機制。
影響平台:
NetScaler ADC
NetScaler Gateway
建議措施:
立即套用更新: 請檢查 NetScaler 設備版本,並立即安裝 Citrix 於 3 月 23 日釋出的安全修補程式。
檢視 SAML 配置: 確認設備是否啟用了 SAML IDP 功能。若您的環境將 NetScaler 作為身分驗證中心,面臨的攻擊風險最高。
監控異常存取: 檢查 Web 伺服器日誌(Access Logs),搜尋是否有異常存取 /cgi/GetAuthMethods 的行為,特別是來自不明來源 IP 的頻繁請求。
限制管理介面存取: 確保 NetScaler 的管理介面(NSIP)不對外網開放,並建議對 VPN 門戶實施來源 IP 白名單限制。
參考連結 :
https://www.ithome.com.tw/news/174760
https://support.citrix.com/article/CTX-2026-3055
https://labs.watchtowr.com/citrix-netscaler-cve-2026-3055-recon/