Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in Citrix NetScaler, zo meldt Fortinet op basis van eigen cijfers. Door onvoldoende invoervalidatie kan een 'Out-of-bounds Read' ontstaan, waardoor aanvallers allerlei gevoelige informatie uit het geheugen van Citrix-apparaten kunnen lezen, om daarmee verdere aanvallen uit te voeren. Beveiligingsupdates voor het probleem, aangeduid als CVE-2026-3055, zijn sinds 23 maart beschikbaar.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn.

Op 29 maart meldde securitybedrijf watchTowr dat aanvallers misbruik van het probleem maken. Een dag later kwam het Amerikaanse cyberagentschap CISA met het bevel aan Amerikaanse overheidsinstanties om het probleem binnen drie dagen te patchen. Twee maanden later vindt er grootschalig misbruik plaats, aldus Fortinet. Volgens het bedrijf gaat het om duizenden aanvallen per dag, gericht tegen de Citrix-systemen van tech-, telecom en autobedrijven, alsmede managed security serviceproviders en overheden. De meeste aanvallen werden in Duitsland, Hong Kong, Frankrijk, de Verenigde Staten en Polen waargenomen.