CitrixBleed 3: Slik fungerer CVE-2026-3055 – minnelekkasjen som truer norske NetScaler-enheter
CVE 2026 3055 er en kritisk (CVSS 9.3) pre autentiserings sårbarhet i Citrix NetScaler ADC og Gateway som lar uautoriserte angripere lekke aktive sesjonsnøkler, LDAP påloggingsdetaljer og andre hemmeligheter fra minnet. Sårbarheten ble offentliggjort 23.
Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler applCVE-2026-3055 represents the third major memory disclosure vulnerability in the Citrix NetScaler Bleed series, carrying a CVSS score of 9.3 and enabling unauthenticated session token theft.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
openai.com
Korreksjon: Det finnes ingen sårbarhet med CVE-2026-8451 i noen kjente sikkerhetsråd. Feilen som omtales som "CitrixBleed 3" er CVE-2026-3055 (sammen med CVE-2026-4368). Denne artikkelen dekker kun CVE-2026-3055.
Hva er CVE-2026-3055?
CVE-2026-3055 er en kritisk (CVSS 9,3) pre-autentiserings minneoverlesingssårbarhet i Citrix NetScaler ADC og NetScaler Gateway . Den lar en uautentisert ekstern angriper lekke sensitiv data fra enhetens minne, inkludert aktive sesjonsnøkler og påloggingsdetaljer. Citrix offentliggjorde feilen 23. mars 2026 via sikkerhetsråd CTX696300 . Det er den tredje i en serie av relaterte "Bleed"-sårbarheter, etter CVE-2023-4966 ("CitrixBleed") og CVE-2025-5777 ("CitrixBleed 2") .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "CitrixBleed 3: Slik fungerer CVE-2026-3055 – minnelekkasjen som truer norske NetScaler-enheter"?
CVE 2026 3055 er en kritisk (CVSS 9.3) pre autentiserings sårbarhet i Citrix NetScaler ADC og Gateway som lar uautoriserte angripere lekke aktive sesjonsnøkler, LDAP påloggingsdetaljer og andre hemmeligheter fra minnet.
What are the key points to validate first?
CVE 2026 3055 er en kritisk (CVSS 9.3) pre autentiserings sårbarhet i Citrix NetScaler ADC og Gateway som lar uautoriserte angripere lekke aktive sesjonsnøkler, LDAP påloggingsdetaljer og andre hemmeligheter fra minnet. Sårbarheten ble offentliggjort 23. mars 2026, og utnyttelse i det fri ble bekreftet allerede 27.
What should I do next in practice?
Angripere bruker tusenvis av bolig proxy IP er for å unngå blokkering, og masseskanner etter utsatte enheter.
Utilstrekkelig input-validering fører til en minneavlesning utenfor grensene (CWE-125) . Enheten validerer ikke spesifikke parametere i SAML- og WS-Federation-autentiseringsforespørsler på riktig måte.
Angrepsvektorer
Send en misdannet HTTP-forespørsel til /saml/login uten feltet AssertionConsumerServiceURL
Send en misdannet forespørsel til /wsfed/passive?wctx med en tom wctx-verdi
Disse misdannede forespørslene utløser en overlesing, og enheten returnerer minneinnhold i HTTP-svaret .
Utnyttelseskompleksitet
Utnyttelse beskrives som "trivielt enkel" – en enkelt uautentisert HTTP GET- eller POST-forespørsel er tilstrekkelig . Ingen spesialverktøy, autentisering eller brukerinteraksjon er nødvendig .
Citrix publiserer sikkerhetsråd CTX696300 og slipper oppdateringer
2026-03-27
watchTowr Labs bekrefter aktiv rekognosering og utnyttelse fra kjente trusselaktør-IP-er – bare 4 dager etter offentliggjøring
2026-03-30
Flere sikkerhetsselskaper bekrefter aktiv utnyttelse i det fri
~2026-03-31
CISA legger CVE-2026-3055 til sin liste over kjente utnyttede sårbarheter (KEV)
2026-04–mai
Masse-skanning observert; Proof-of-concept og utnyttelseskode sirkulerer bredt
Tidlig juni 2026
Storskala utnyttelseskampanje går inn i en ny bølge, rettet mot upluggede enheter i stor skala
Angrepsinfrastruktur
Boligproxy-nettverk
Angripere brukte tusenvis av boligproxy-IP-er for å gjennomføre rekognosering og utnyttelse, noe som gjorde blokkering basert på kilde-IP ineffektiv .
Kjente trusselaktør-IP-er
watchTowr rapporterte spesifikke kilde-IP-er knyttet til kjente trusselaktørgrupper som startet utnyttelse 27. mars .
Automatisert skanning
GreyNoise og andre trusselinformasjonsplattformer oppdaget masseskanning av sårbare endepunkter (/saml/login, /wsfed/passive) i løpet av dager etter offentliggjøring .
Konsekvenser
Kapring av sesjoner og omgåelse av tofaktorautentisering
Angripere kan stjele aktive sesjonsnøkler fra minnet og gjenbruke dem for å autentisere seg som enhver aktiv bruker, og dermed fullstendig omgå tofaktorautentisering .
Tyveri av påloggingsdetaljer
LDAP-bindingspåloggingsdetaljer og SAML-signeringsnøkler i minnet kan også eksfiltreres, noe som muliggjør lateral bevegelse og vedvarende tilgang .
Kompromittering av identitetsstien
Fordi feilen lekker materiale fra identitetsleverandør-stien, er rotasjon av alle hemmeligheter som "berøres" av den stien nødvendig etter et hendelsesforløp .
Omfang
Alle NetScaler ADC- og NetScaler Gateway-instanser som er konfigurert som en Gateway- eller AAA-virtuell server (internettvendt identitetsleverandørrolle) er berørt .
Anbefalinger for sikring
1. Oppgrader umiddelbart (24–48 timer for internettvendte enheter)
Bruk de fik sede versjonene som ble sluppet 23. mars 2026, i henhold til Citrix sikkerhetsråd CTX696300:
NetScaler ADC & Gateway 14.1-66.59 eller nyere
NetScaler ADC & Gateway 14.1-60.58
NetScaler ADC & Gateway 13.1-62.23 eller nyere
NetScaler ADC 13.1-FIPS / NDcPP 13.1-37.262
2. Roter alle sesjonsnøkler
Etter oppgradering, ugyldiggjør alle eksisterende NSC_AAAC-, NSC_TMAS- og NSC_TASS-cookies og tving re-autentisering av alle brukere .
3. Roter alle hemmeligheter i identitetsstien
LDAP-bindingspåloggingsdetaljer, SAML-signeringsnøkler, tjenestekonto-passord og andre hemmeligheter som var til stede i enhetens minne i eksponeringsvinduet .
4. Implementer deteksjonssignaturer
Overvåk for:
Uvanlige forespørsler til /saml/login og /wsfed/passive-endepunktene
Uvanlig store HTTP-svar
Uventet gjenbruk av sesjonsnøkler
5. Nettverkssegmentering
Isoler NetScaler-enheter fra det interne nettverket der det er mulig, og begrens utgående tilkobling fra enheten .
6. Vurder midlertidige løsninger
Hvis oppgradering blir forsinket, deaktiver SAML- og WS-Federation-endepunkter på Gatewayen eller begrens tilgang til dem via WAF/reverse-proxy-regler. Oppgradering er den eneste fullstendige løsningen .
reddit.comCVE-2026-3055 & CVE-2026-4368: Inside the NetScaler "CitrixBleed 3" Memory Overread