Die Sicherheitsfirma watchTowr, die Dienste zur Angriffssimulation und kontinuierlichen Prüfung anbietet, beobachtete nach eigenen Angaben am Samstag Aufklärungsaktivitäten gegen verwundbare Instanzen und warnte, dass eine Ausnutzung in freier Wildbahn unmittelbar bevorstehe. Einen Tag später bestätigten die Forscher, dass Angreifer die Lücke mindestens seit dem 27. März tatsächlich ausnutzen, um Sitzungs-IDs für die Administration auszulesen.
“Die Ausnutzung in freier Wildbahn hat begonnen; Belege aus unserem Honeypot-Netzwerk zeigen seit dem 27. März Angriffe von bekannten Quell-IP-Adressen krimineller Akteure”, so watchTowr. Gelingt der Zugriff, lässt sich darüber potenziell eine vollständige Übernahme der NetScaler-Geräte erreichen.
Die Analyse von watchTowr deutet darauf hin, dass CVE-2026-3055 nicht eine, sondern mindestens zwei voneinander getrennte Speicher-Auslesefehler umfasst. Der erste betrifft den Endpunkt “/saml/login”, der die SAML-Authentifizierung verarbeitet, der zweite den Endpunkt “/wsfed/passive”, der für die passive WS-Federation-Authentifizierung zuständig ist. Die Forscher demonstrierten, dass sich über die Schwachstelle sensible Informationen abgreifen lassen, einschließlich der Sitzungs-IDs authentifizierter Administratoren.
watchTowr bezeichnete die ihrer Ansicht nach unvollständige Offenlegung des Problems durch Citrix als unaufrichtig. Zugleich stellten die Forscher ein Python-Skript bereit, mit dem Verteidiger verwundbare Hosts in ihrer Umgebung aufspüren können.
Zum Zeitpunkt der Veröffentlichung erwähnt der Sicherheitshinweis von Citrix keine Ausnutzung von CVE-2026-3055. BleepingComputer bat das Unternehmen um eine Stellungnahme zu den gemeldeten Angriffen auf ungepatchte Geräte, erhielt jedoch keine Antwort.
Nach Daten der ShadowServer Foundation waren mit Stand 28. März rund 29.000 NetScaler- und 2.250 Gateway-Instanzen über das Internet erreichbar. Unklar bleibt, welcher Anteil davon tatsächlich für CVE-2026-3055 anfällig ist.
