Die US-Behörde CISA hat die Schwachstelle CVE-2026-3055 in Citrix NetScaler ADC und NetScaler Gateway in ihren „Known Exploited Vulnerabilities"-Katalog aufgenommen. Damit stuft die Behörde die Lücke als aktiv ausgenutzt ein. Citrix hatte am 23. März in einem Security Bulletin über die Schwachstelle informiert.
Bei CVE-2026-3055 handelt es sich um eine unzureichende Eingabevalidierung, die über einen Memory Overread das Auslesen sensibler Daten ermöglicht. Mehrere Sicherheitsunternehmen warnten nach der Veröffentlichung vor einem hohen Ausnutzungsrisiko, vor allem wegen der technischen Ähnlichkeiten mit den bekannten Schwachstellen „CitrixBleed" (2023) und „CitrixBleed2" (2025).
Laut Citrix und WatchTowr betrifft das Problem besonders Instanzen, die als SAML Identity Provider konfiguriert sind. Sicherheitsforscher beobachteten zunächst Reconnaissance-Aktivitäten und kurz darauf die aktive Ausnutzung. Angreifer zielen unter anderem auf das Auslesen administrativer Session-IDs ab, was im schlimmsten Fall die vollständige Übernahme ungepatchter Systeme ermöglicht.
WatchTowr weist darauf hin, dass die Lücke bereits seit dem 27. März ausgenutzt wird und mindestens zwei verschiedene Speicherüberlauf-Fehler umfasst – nicht nur einen, wie von Citrix ursprünglich kommuniziert. Die CISA hat US-Bundesbehörden eine Frist bis zum 2. April 2026 gesetzt. Auch Unternehmen außerhalb des öffentlichen Sektors sollten die Updates priorisieren, da NetScaler-Appliances als internetexponierte Infrastruktur eine häufig genutzte Angriffsfläche für Initial Access und Session-Hijacking darstellen.
Was jetzt zu tun ist:
- Verfügbare Patches umgehend einspielen
- Authentifizierungslogs auf auffällige Anfragen und ungewöhnliche Session-Aktivitäten prüfen
Autor: Michael Niers
