Beschreibung:
In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt.
- CVE-2025-6543 Hier wird von einem Memory overflow gesprochen der auch zu einem denial-of-service führen kann.
- CVE-2025-5777 Originalbeschreibung: "Insufficient input validation leading to memory overread when the NetScaler is configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server."
- CVE-2025-5349 aufgrund unzureichender Zugriffskontrollen auf der Management-Oberfläche können Angreifer unbefugt auf zentrale Verwaltungsfunktionen zugreifen und dadurch sensible Unternehmensdaten sowie Netzwerkressourcen kompromittieren.
Diese Beschreibungen ähneln der kritischen "CitrixBleed" Lücke aus dem Jahr 2023. Die durch diese Lücken auslesbaren Speicherbereiche können sensible Informationen enthalten, etwa Session Tokens. In einer Replay-Attacke können Angreifer damit Citrix-Sitzungen übernehmen und etwa Mehrfaktorauthentifizierung umgehen. So stellte es sich bereits bei der in freier Wildbahn missbrauchten CitrixBleed-Lücke in 2023 dar.
Betroffene Systeme:
- NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.46
- NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.19
- NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.236-FIPS and NDcPP
- NetScaler ADC 12.1-FIPS BEFORE 12.1-55.328-FIPS
Behobene Versionen:
- NetScaler ADC and NetScaler Gateway 14.1-47.46 and later releases
- NetScaler ADC and NetScaler Gateway 13.1-59.19 and later releases of 13.1
- NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.236 and later releases of 13.1-FIPS and 13.1-NDcPP. Customers should contact support - https://support.citrix.com/support-home/home to obtain the 13.1-FIPS and 13.1-NDcPP builds that address this issue.
- NetScaler ADC 12.1-FIPS 12.1-55.328 and later releases of 12.1-FIPS
Empfohlene Maßnahmen:
Die Cloud Software Group bittet die betroffenen Kunden von NetScaler ADC und NetScaler Gateway dringend darum, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren.
Zusätzlich empfehlen wir, die folgenden Befehle auszuführen, um alle aktiven ICA- und PCoIP-Sitzungen zu beenden, nachdem alle NetScaler Appliances im HA-Paar oder Cluster auf die festen Builds aktualisiert wurden:
- kill icaconnection -all
- kill pcoipConnection -all
Bitte achten Sie beim Kopieren und Einfügen dieser Befehle darauf, dass die Formatierung erhalten bleibt.
Hinweis: Die NetScaler ADC- und NetScaler Gateway-Versionen 12.1 und 13.0 sind jetzt End of Life (EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Schwachstellen beheben.
Einschätzung der Bedrohung:
Obwohl aktuell noch von keinen frei zugänglichen Exploits die Rede ist, wurden bereits Angriffe beobachtet, deshalb schätzen wir die Lage als kritisch ein.
Weiterführende Links:
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420 https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788 https://www.heise.de/news/CitrixBleed-2-Citrix-Netscaler-Luecken-gravierender-10460208.html
