תיקון חשוב: אין פגיעות בשם CVE-2026-8451. הפגיעות הנקראת "CitrixBleed 3" היא CVE-2026-3055 (בצוותא עם CVE-2026-4368). מאמר זה מסקר את CVE-2026-3055 בלבד.
CVE-2026-3055 היא פגיעות קריטית (CVSS 9.3) מסוג קריאת זיכרון חריגה (Memory Overread) ללא צורך באימות מקדים, ב-Citrix NetScaler ADC ו-NetScaler Gateway . היא מאפשרת לתוקף מרוחק ולא מזוהה לדלוף מידע רגיש מזיכרון המכשיר, כולל טוקני גישה פעילים ופרטים אישיים. Citrix חשפה את הפגיעות ב-23 במרץ 2026 בהודעת CTX696300
. זוהי הפגיעות השלישית בשורת פגיעויות "Bleed" דומות, לאחר CVE-2023-4966 ("CitrixBleed") ו-CVE-2025-5777 ("CitrixBleed 2")
.
תקלוט (Validation) לא מספק של קלט מוביל לקריאת זיכרון מחוץ לתחום (Out-of-Bounds Read, CWE-125) . המכשיר לא מאמת כראוי פרמטרים מסוימים בבקשות אימות SAML ו-WS-Federation.
/saml/login ללא השדה AssertionConsumerServiceURL/wsfed/passive?wctx עם ערך ריק wctx בקשות פגומות אלו גורמות לקריאה חריגה בזיכרון, והמכשיר מחזיר בתגובת ה-HTTP את תוכן הזיכרון שנקרא .
הניצול מוגדר כ"פשוט ביותר" — בקשת HTTP GET או POST בודדת וללא אימות מספיקה . אין צורך בכלים מיוחדים, אישורי גישה או אינטראקציה של משתמש
.
המידע שדלף מופיע מוצפן בקידוד base64 בתוך תגובת NSC_TASS .
תוקפים עשו שימוש באלפי כתובות IP של פרוקסי ביתי (Residential Proxies) לצורך סריקות וניצול, מה שהופך חסימה לפי IP לבלתי אפקטיבית .
watchTowr דיווחה על כתובות IP ספציפיות המקושרות לקבוצות תקיפה מוכרות שהחלו בניצול ב-27 במרץ .
פלטפורמות מודיעין איומים כמו GreyNoise זיהו סריקות המוניות לנתיבים פגיעים (/saml/login, /wsfed/passive) תוך ימים מהחשיפה .
תוקפים יכולים לגנוב טוקני גישה פעילים מהזיכרון ולהשתמש בהם כדי להתחבר כמשתמשים פעילים, תוך עקיפה מלאה של אימות דו-שלבי .
פרטי התחברות LDAP ומפתחות חתימה SAML בזיכרון ניתנים גם הם להעתקה, מה שמאפשר תנועה רוחבית וגישה מתמשכת .
מכיוון שהפגיעות מדליפה חומר משרשרת ספק הזהויות, נדרש איפוס של כל הסודות שעברו בשרשרת זו לאחר אירוע אבטחה .
כל מכשירי NetScaler ADC ו-NetScaler Gateway המוגדרים כשרת Gateway וירטואלי או AAA Virtual Server (תפקיד ספק זהויות חשוף לאינטרנט) מושפעים .
יש להתקין את הגרסאות המתוקנות ששוחררו ב-23 במרץ 2026.
הגרסאות המתוקנות (לפי הודעת Citrix CTX696300):
לאחר התקנת התיקון, יש לבטל את כל העוגיות NSC_AAAC, NSC_TMAS, NSC_TASS הקיימות ולחייב את כל המשתמשים להתחבר מחדש .
יש לבצע רוטציה לפרטי התחברות LDAP, מפתחות חתימה SAML, סיסמאות חשבונות שירות (Service Accounts) וכל סוד אחר שהיה בזיכרון המכשיר במהלך חלון החשיפה .
יש לנטר:
/saml/login ו-/wsfed/passiveיש לבודד את מכשירי NetScaler מהרשת הפנימית במידת האפשר, ולהגביל את הקישוריות היוצאת מהמכשיר .
במידה וההתקנה מתעכבת, יש להשבית את נקודות הקצה SAML ו-WS-Federation ב-Gateway, או להגביל את הגישה אליהן באמצעות כללי WAF/Reverse Proxy. עם זאת, התקנת התיקון היא הפתרון היחיד והמלא .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 היא פרצת קריאת זיכרון חריגה (Memory Overread) בדרגת חומרה קריטית (9.3) ב Citrix NetScaler ADC ו Gateway, המאפשרת לתוקף לא מזוהה לדלוף טוקני גישה, פרטי התחברות LDAP ומפתחות הצפנה ישירות מהזיכרון.
CVE 2026 3055 היא פרצת קריאת זיכרון חריגה (Memory Overread) בדרגת חומרה קריטית (9.3) ב Citrix NetScaler ADC ו Gateway, המאפשרת לתוקף לא מזוהה לדלוף טוקני גישה, פרטי התחברות LDAP ומפתחות הצפנה ישירות מהזיכרון. ניצול ראשון תועד תוך 4 ימים מהפרסום הרשמי (27 במרץ 2026), ומאז החלו סריקות המוניות וגל תקיפה רחב היקף בתחילת יוני, תוך שימוש ברשתות פרוקסי אזרחיות להסתרת מקור התקיפה.
הנזק העיקרי: עקיפה מוחלטת של אימות דו שלבי (MFA) באמצעות גניבת טוקני סשן, גניבת פרטי מנהלים וחשבונות שירות, ופגיעה בשרשרת הזהויות (Identity Path) המחייבת איפוס כל הסודות שנחשפו.
| אפריל-מאי 2026 | נצפו סריקות המוניות; קוד מוכח-מושג (PoC) וקוד ניצול מופצים ברבים |
| תחילת יוני 2026 | קמפיין ניצול רחב היקף נכנס לגל חדש, המכוון למכשירים שלא תוקנו |