Die Warnung kam zum richtigen Zeitpunkt: WatchTowr detektierte bereits am Freitag erste Aufklärungsversuche gegen anfällige NetScaler-Instanzen. Am darauffolgenden Sonntag bestätigte das Sicherheitsunternehmen dann aktive Exploits. Laut Erkenntnissen könnten die Angriffe bereits seit mindestens dem 27. März laufen.
Die Schwachstelle CVE-2026-3055 wird von Citrix als Out-of-Bounds-Read-Problem beschrieben – eine Speicherlücke, die das Unternehmen intern identifiziert hatte. Sie ermöglicht es Angreifern, durch geschickt präparierte Anfragen sensible Daten aus dem Anwendungsspeicher auszulesen.
Wie funktioniert der Angriff? Das Exploits-Muster ähnelt der berüchtigten CitrixBleed2-Lücke: Ein spezifischer Parameter in der Anfrage ist erforderlich, aber ohne einen Wert und ohne das Gleichheitszeichen. Eine fehlerhafte Implementierung führt dazu, dass NetScaler nur auf die Präsenz des Parameters prüft, nicht aber auf dessen Inhalt, bevor auf den zugehörigen Speicherbereich zugegriffen wird. Die fehlende Wertzuweisung leitet den Zugriff auf ungenutzten Speicher um. Da dieser Speicher dynamisch ist, offenbaren wiederholte Anfragen unterschiedliche Informationen – ein klassisches Memory-Leaking-Szenario.
Besonders bemerkenswert: WatchTowr gelang es, durch diese Methode die ID einer authentifizierten Admin-Sitzung zu extrahieren. Mit dieser ID können Angreifer sich praktisch als Administrator in ein Citrix-System einloggen. Die Sicherheitsforscher kommentierten dies deutlich: “Wir sind jetzt die (völlig legitimen) Administratoren einer Citrix NetScaler Appliance. Nutzt das in eurem Browser, in eurer Automation, in eurem LLM – und verbreitet Remote-Zugang weltweit.”
Die Kritikalität lässt sich nicht leugnen: Ein CVSS-Score von 9,3 unterstreicht die Schwere. Besonders vulnerable Systeme sind NetScaler ADC und Gateway vor den Versionen 14.1-60.58 und 13.1-62.23, sowie ADC FIPS und NDcPP vor 13.1-37.262.
Für deutsche Organisationen ist dies eine alarmierende Situation. Citrix NetScaler wird häufig in Unternehmensumgebungen als zentrale Zugangskomponente eingesetzt. Ein kompromittiertes System bedeutet potenziell unbegrenzten Zugriff auf interne Netzwerke. Die schnelle Eskalation von öffentlicher Veröffentlichung zur aktiven Ausnutzung – innerhalb weniger Tage – zeigt, wie aggressiv Angreifer bei kritischen Lücken vorgehen. WatchTowr hatte diese Entwicklung prognostiziert und mit CitrixBleed verglichen, einer früheren, ähnlich gravierenden Schwachstelle.
Unternehmen sollten umgehend ihre Citrix-Infrastruktur überprüfen und die bereitgestellten Patches einspielen. Ohne rasche Handlung drohen Datenverluste und vollständige Systemkompromittierungen.