Die Schwachstelle CVE-2026-3055 entsteht durch eine unzureichende Eingabevalidierung. Nicht authentifizierte Angreifer können sie aus der Ferne ausnutzen, um sensible Daten aus Citrix-ADC- oder Citrix-Gateway-Geräten abzugreifen, sofern diese als SAML-Identitätsanbieter (IDP) eingerichtet sind.

Mehrere Cybersicherheitsunternehmen stuften die Lücke nach der Veröffentlichung der Citrix-Updates am 23. März als erhöhtes Angriffsrisiko ein und verwiesen auf die technische Verwandtschaft mit den breit ausgenutzten Schwachstellen “CitrixBleed” und “CitrixBleed2”. Das Sicherheitsunternehmen Watchtowr beobachtete zudem, dass die Schwachstelle bereits wenige Tage nach Bereitstellung der Patches aktiv missbraucht wurde. Laut Watchtowr lassen sich darüber Sitzungs-IDs der Administrator-Authentifizierung stehlen, was potenziell die komplette Übernahme ungepatchter NetScaler-Geräte ermöglicht.

Citrix hat seine Kunden bereits aufgefordert, NetScaler-Instanzen zu aktualisieren, und detaillierte Hinweise zur Erkennung verwundbarer Geräte herausgegeben. Eine Bestätigung, dass die Angriffe auf CVE-2026-3055 derzeit andauern, steht vonseiten des Unternehmens jedoch noch aus.

Der Dienst Shadowserver erfasst aktuell knapp 30.000 im Internet erreichbare NetScaler-ADC-Geräte sowie mehr als 2.300 Gateway-Instanzen. Wie viele davon eine verwundbare Konfiguration nutzen oder bereits gepatcht wurden, ist nicht bekannt.

Am Montag nahm CISA die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf. Gemäß der Binding Operational Directive (BOD) 22-01 müssen die zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB) ihre betroffenen Citrix-Geräte bis Donnerstag, den 2. April, absichern.

“Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für bösartige Cyberakteure und stellt ein erhebliches Risiko für die föderale Infrastruktur dar”, warnte die Behörde. Sie empfahl, die Gegenmaßnahmen nach Herstellervorgaben umzusetzen, die geltenden BOD-22-01-Vorgaben für Cloud-Dienste zu befolgen oder das Produkt nicht weiter zu verwenden, falls keine Gegenmaßnahmen verfügbar seien.

Obwohl die BOD 22-01 nur für US-Bundesbehörden gilt, rief CISA alle Verteidiger auf — auch im privaten Sektor —, das Patchen von CVE-2026-3055 vorrangig zu behandeln und ihre Geräte so schnell wie möglich abzusichern.

Bereits im August 2025 hatte CISA CitrixBleed2 als aktiv ausgenutzt gemeldet und den Bundesbehörden nur einen einzigen Tag zur Absicherung eingeräumt. Die kritische CitrixBleed-Lücke in NetScaler war zuvor von mehreren Hackergruppen als Zero-Day ausgenutzt worden, um namhafte Technologieunternehmen wie Boeing sowie Regierungsorganisationen zu kompromittieren, bevor sie im Oktober 2023 geschlossen wurde. Insgesamt hat die US-Behörde 23 Citrix-Schwachstellen als in freier Wildbahn ausgenutzt eingestuft, sechs davon kamen bei Ransomware-Angriffen zum Einsatz.