เตือนช่องโหว่ Critical บน Citrix NetScaler ถูกแฮกเกอร์ใช้โจมตีจริงแล้ว

พบช่องโหว่ Critical CVE-2026-3055 บน Citrix NetScaler ADC และ NetScaler Gateway ถูกแฮกเกอร์ใช้โจมตีเพื่อขโมยข้อมูล Session ID ของผู้ดูแลระบบ ซึ่งอาจนำไปสู่การยึดครองอุปกรณ์ได้

Citrix เปิดเผยช่องโหว่ดังกล่าวผ่าน Security Bulletin เมื่อวันที่ 23 มีนาคมที่ผ่านมา พร้อมกับช่องโหว่ Race Condition ระดับ High อีกรายการคือ CVE-2026-4368 โดยช่องโหว่ CVE-2026-3055 กระทบ NetScaler ADC และ Gateway เวอร์ชันก่อน 14.1-60.58, ก่อน 13.1-62.23 และก่อน 13.1-37.262 ทั้งนี้ช่องโหว่มีผลกระทบเฉพาะอุปกรณ์ที่ถูกตั้งค่าเป็น SAML Identity Provider (IDP) เท่านั้น และผู้ดูแลระบบที่ใช้งานแบบ On-premises จำเป็นต้องดำเนินการแก้ไข

บริษัทด้านความปลอดภัยหลายแห่งระบุว่าช่องโหว่นี้มีลักษณะคล้ายคลึงกับช่องโหว่ CitrixBleed และ CitrixBleed2 ที่ถูกใช้โจมตีอย่างกว้างขวางในปี 2023 และ 2025 ตามลำดับ ทีมวิจัยจาก watchTowr พบหลักฐานว่าแฮกเกอร์เริ่มใช้ช่องโหว่นี้โจมตีจริงตั้งแต่วันที่ 27 มีนาคมเป็นอย่างน้อย โดยใช้เพื่อดึง Authentication Session ID ของผู้ดูแลระบบออกมา จากการวิเคราะห์พบว่า CVE-2026-3055 ครอบคลุมช่องโหว่ Memory Overread อย่างน้อย 2 จุด ได้แก่ Endpoint ‘/saml/login’ สำหรับ SAML Authentication และ Endpoint ‘/wsfed/passive’ สำหรับ WS-Federation Passive Authentication

ข้อมูลจาก The ShadowServer Foundation ณ วันที่ 28 มีนาคม ระบุว่ามีอุปกรณ์ NetScaler ราว 29,000 เครื่อง และ Gateway อีกราว 2,250 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้จะยังไม่ทราบสัดส่วนที่ได้รับผลกระทบจากช่องโหว่นี้ ทีมวิจัยจาก watchTowr ได้เผยแพร่ Python Script เพื่อช่วยให้ผู้ดูแลระบบตรวจสอบว่าอุปกรณ์ของตนมีความเสี่ยงหรือไม่ แนะนำให้ผู้ดูแลระบบที่ใช้งาน Citrix NetScaler อัปเดตแพตช์โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/critical-citrix-netscaler-memory-flaw-actively-exploited-in-attacks/