Μια πρόσφατα αποκαλυφθείσα κρίσιμη ευπάθεια που επηρεάζει τα Citrix NetScaler ADC και NetScaler Gateway βρίσκεται ήδη στο στόχαστρο επιτιθέμενων για δραστηριότητες αναγνώρισης.
Σύμφωνα με αναφορές των εταιρειών Defused Cyber και watchTowr, το κενό ασφαλείας CVE-2026-3055, το οποίο συγκεντρώνει την ιδιαίτερα υψηλή βαθμολογία επικινδυνότητας 9.3 στην κλίμακα CVSS, προκαλείται από ελλιπή έλεγχο δεδομένων εισόδου, επιτρέποντας την μη εξουσιοδοτημένη ανάγνωση μνήμης (memory overread).
Η μέθοδος εντοπισμού ευάλωτων στόχων
Οι ερευνητές ασφαλείας παρατηρούν ότι οι επιτιθέμενοι χρησιμοποιούν τεχνικές «αποτυπώματος» (fingerprinting) για να εντοπίσουν τις μεθόδους αυθεντικοποίησης που είναι ενεργοποιημένες στις συσκευές. Συγκεκριμένα, εξετάζουν τη διαδρομή /cgi/GetAuthMethods για να διαπιστώσουν εάν το σύστημα είναι ρυθμισμένο ως πάροχος ταυτότητας SAML (SAML IdP), καθώς αυτή η παραμετροποίηση αποτελεί προϋπόθεση για την επιτυχή εκμετάλλευση της ευπάθειας.
Η δραστηριότητα αυτή στα honeypots των εταιρειών υποδεικνύει ότι η μετάβαση από την απλή αναγνώριση στην ενεργή εκμετάλλευση και την υποκλοπή ευαίσθητων πληροφοριών είναι θέμα χρόνου.
Επηρεαζόμενες εκδόσεις και ανάγκη για άμεση ενημέρωση
Η ευπάθεια επηρεάζει ένα ευρύ φάσμα εκδόσεων του NetScaler ADC και NetScaler Gateway, συμπεριλαμβανομένων των:
- Εκδόσεων 14.1 πριν από την 14.1-66.59.
- Εκδόσεων 13.1 πριν από την 13.1-62.23.
- Ειδικών εκδόσεων FIPS και NDcPP (13.1 πριν από την 13.1-37.262).
Η κρισιμότητα της κατάστασης
Τα τελευταία χρόνια, τα συστήματα NetScaler έχουν αποτελέσει συχνό στόχο επιθέσεων, με χαρακτηριστικά παραδείγματα τις ευπάθειες Citrix Bleed (2023) και τις διαδοχικές ανακαλύψεις του 2025.
Οι ειδικοί προειδοποιούν ότι οι οργανισμοί που χρησιμοποιούν τις επηρεαζόμενες εκδόσεις πρέπει να σταματήσουν κάθε άλλη εργασία και να προχωρήσουν στην άμεση εγκατάσταση των ενημερώσεων ασφαλείας, καθώς το παράθυρο αντίδρασης θα κλείσει οριστικά μόλις ξεκινήσουν οι μαζικές επιθέσεις.