Citrix这次动作很快。3月24日他们直接推了安全更新,堵住NetScaler ADC和NetScaler Gateway里的两个洞。其中一个评9.3分,够得上严重级别。
这个CVE-2026-3055本质是输入校验没做好,导致内存越界读取。没认证的远程攻击者就能从设备内存里拽出敏感信息。Rapid7说得很直白:只要NetScaler被配成SAML身份提供者,也就是SAML IDP,就能被利用。默认配置没事,但企业里真这么配的不少。
想自查?Citrix给的办法简单粗暴:在配置里搜字符串“add authentication samlIdPProfile .*”。搜到就中招了,赶紧升级。
另一个CVE-2026-4368分数7.7,属于竞态条件,会把用户会话搞混。前提是设备开了网关功能,比如SSL VPN、ICA Proxy这些,或者当了AAA服务器。查配置就看这两行:add authentication vserver .* 或者 add vpn vserver .*,有就危险。
受影响版本卡得很死:NetScaler ADC和Gateway 14.1在14.1-66.59之前,13.1在13.1-62.23之前,还有13.1-FIPS和13.1-NDcPP在13.1-37.262之前。没打补丁的机器现在就是活靶子。
过去几年NetScaler挨打可不是一次两次。Citrix Bleed(CVE-2023-4966)、Citrix Bleed 2(CVE-2025-5777),还有2025年的另外几个洞,都被攻击者拿来当跳板进企业网。watchTowr CEO Benjamin Harris直接放话:这玩意儿听起来就跟Citrix Bleed一家亲,NetScaler一直是企业初始访问的香饽饽,补丁刚出,赶紧动手,晚了很可能就被盯上。
企业安全这块从来不缺血泪史。一次没补,就可能丢密钥、丢会话、丢用户数据。尤其现在远程办公、混合云环境,NetScaler这种负载均衡加网关设备,地位太关键。一旦出事,影响面直接拉到整个内网。
眼下市场情绪还算稳,BTC现报$70,920(涨4.35%),ETH现报$2,162(涨6.45%),但安全事件从来不看行情脸色。攻击者可不管币价是涨是跌,他们只管找最容易下手的入口。
Citrix这次把修复包甩出来,态度算积极。可现实是,大部分企业升级周期都不短。运维团队得先测试,再上线,还得盯住有没有绕过方式。过去几次Citrix洞被利用后,APT团伙动作都很快,这次大概率也不会闲着。
建议所有还在用老版本的团队,立刻跑一遍配置检查。没配SAML IDP和网关功能的,风险低一点,但也不要掉以轻心。打了最新补丁的,建议再开个日志监控,看看有没有异常内存访问或者会话异常。
安全这东西,从来不是“打完补丁就万事大吉”。尤其是网络设备,暴露在公网的越多,越得当宝贝护着。Citrix这次把话说在前头,剩下就看各家执行力了。动作慢的,很可能又要上新闻。