De Britse overheid heeft organisaties opgeroepen om een kritieke kwetsbaarheid in Citrix NetScaler ADC en Citrix NetScaler Gateway meteen te patchen. Beveiligingsupdates voor het probleem, aangeduid als CVE-2026-3055, zijn sinds 23 maart beschikbaar. Door onvoldoende invoervalidatie kan een 'Out-of-bounds Read' ontstaan, waardoor aanvallers allerlei gevoelige informatie uit het geheugen van de Citrix-apparaten kunnen lezen, om daarmee verdere aanvallen uit te voeren.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn.

Misbruik van de kwetsbaarheid is alleen mogelijk wanneer de Citrix-systemen als een SAML (Security Assertion Markup Language) identiteitsprovider zijn ingesteld. Citrix ontdekte de kwetsbaarheid zelf en is niet met misbruik bekend. In het verleden zijn zeker dertien beveiligingslekken in Citrix NetScaler ADC en Gateway gebruikt bij aanvallen. Het Britse National Cyber Security Centre (NCSC) is nu met een oproep aan organisaties gekomen om de beschikbaar gestelde updates meteen te installeren.