Die Cybersecurity and Infrastructure Security Agency (CISA) ordnete an, dass US-Bundesbehörden CVE-2026-3055 bis Donnerstag schließen müssen. Auslöser war die aktive Ausnutzung, über die Vorfallhelfer am Wochenende zu berichten begannen.
Die Schwachstelle betrifft die Application Delivery Controllers (ADC) von Citrix NetScaler. Diese Systeme nutzen große Organisationen, um Datenverkehr und Authentifizierung zu steuern. Der konkret betroffene Bestandteil, das NetScaler Gateway, fungiert als Eingangstor für Nutzer, die sich mit der Umgebung einer Organisation verbinden.
Die Lücke ermöglicht es Angreifern, mit gezielten Anfragen sensible Informationen offenzulegen. Mit einem Schweregrad von 9,3 von 10 Punkten wird das Risiko als kritisch eingestuft. Citrix legte die Schwachstelle am 23. März offen und stellte zugleich einen Patch bereit. Die Sicherheitsexperten von watchTowr meldeten am Sonntag, dass die Lücke ausgenutzt wird.
Benjamin Harris, Vorstandschef von watchTowr, erklärte, die Schwachstelle trage die Merkmale von CitrixBleed und Citrix Bleed Two, die beide NetScaler-ADC-Installationen betrafen. „NetScaler sind kritische Lösungen, die fortlaufend für den ersten Zugriff auf Unternehmensumgebungen ins Visier genommen werden", sagte Harris. „CVE-2026-3055 erlaubt es nicht authentifizierten Angreifern, sensiblen Speicher aus NetScaler-ADC-Installationen abzugreifen und auszulesen."
Citrix Bleed Two (CVE-2025-5777) tauchte im vergangenen Sommer auf und sorgte für so große Besorgnis, dass Bundesbehörden eine eintägige Frist zum Patchen erhielten. Auch diese Lücke betraf Citrix-Kunden, die ihre NetScaler-ADC- und NetScaler-Gateway-Geräte selbst verwalten. Sie soll unter anderem gegen die Generalstaatsanwaltschaft von Pennsylvania sowie gegen die niederländische Staatsanwaltschaft eingesetzt worden sein, das dortige Pendant zum US-Justizministerium.
Die erste Citrix-Bleed-Lücke wurde 2023 von Ransomware-Banden und staatlich unterstützten Angreifern genutzt, um Dutzende Regierungsorganisationen und große Unternehmen anzugreifen. Sie löste unter Verteidigern besonderen Alarm aus, weil zahlreiche Krankenhäuser und Betreiber kritischer Infrastruktur NetScaler ADC und NetScaler Gateway einsetzen. Die CISA warnte 2023 mehr als 300 Organisationen vor ihrer Anfälligkeit für Citrix Bleed.
