打开网易新闻 查看精彩图片

CISA把CVE-2026-3055塞进KEV目录的速度,比大多数公司开完一场安全会议还快。这个藏在Citrix NetScaler SAML配置里的越界读取漏洞,已经被确认在真实攻击中活跃——攻击者不需要账号,远程触发内存越读就能捞到认证令牌和用户凭证。

打开网易新闻 查看精彩图片

漏洞的阴险之处在于它的位置。NetScaler作为IdP(身份提供商)时,本身就是企业网络的认证枢纽。内存一漏,等于把钥匙串挂在门口。CISA的原话很直接:「联邦民事行政部门须在2026年4月2日前完成修复」——从公告到Deadline只有14天,这种紧迫节奏在BOD 22-01历史上都算罕见。

打开网易新闻 查看精彩图片

目前尚不清楚该漏洞是否被用于勒索软件攻击,但CISA的措辞留了余地:建议无法立即打补丁的组织直接停用产品。换句话说,这不是"尽快处理"的常规提醒,是"先断网再说话"的级别。

NetScaler系列(ADC、Gateway、FIPS/NDcPP型号)常年暴露在互联网边缘,一直是APT团伙的敲门砖首选。2023年同系列产品曾因另一个SAML漏洞被大规模利用,当时数千台设备沦为入侵跳板。历史不会重复,但押韵。

CISA同时向私营企业喊话:别等联邦时间表,现在就去 vendor 那里拿缓解措施。KEV目录的存在价值就在于此——把"可能出问题"变成"已经有人在搞"。截至发稿,Citrix尚未发布完整补丁,仅提供临时缓解方案。