Beschreibung:
Citrix hat ein Advisory zu mehreren, zum Teil kritischen, (Zero-Day) Schwachstellen in den Produkten NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht (CVE-Nummer(n): CVE-2025-7775, CVE-2025-7776, CVE-2025-8424).
Die Schwachstellen erlauben neben Remote Code Execution (CVE-2025-7775), das auslösen eines Denial of Service (DoS), beziehungsweise das hervorrufen undefinierter und fehlerhafter Zustände (CVE-2025-7776).
Darüber hinaus nutzt CVE-2025-8424 eine unsachgemäße Zugriffskontrolle gegen die NetScaler Management-Oberfläche aus.
Betroffene Systeme:
- NetScaler ADC und NetScaler Gateway 14.1 unter 14.1-47.48
- NetScaler ADC und NetScaler Gateway 13.1 unter 13.1-59.22
- NetScaler ADC 13.1-FIPS und NDcPP unter 13.1-37.241-FIPS und NDcPP
- NetScaler ADC 12.1-FIPS und NDcPP unter 12.1-55.330-FIPS und NDcPP
Behobene Versionen:
- NetScaler ADC and NetScaler Gateway 14.1-47.48 und spätere Releases
- NetScaler ADC and NetScaler Gateway 13.1-59.22 und spätere Releases von 13.1
- NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.241 und spätere Releases von 13.1-FIPS and 13.1-NDcPP
- NetScaler ADC 12.1-FIPS and 12.1-NDcPP 12.1-55.330 und spätere Releases von 12.1-FIPS and 12.1-NDcPP
Empfohlene Maßnahmen:
Citrix stellt für sämtliche betroffene Softwarekomponenten Updates zur Verfügung, und weist explizit darauf hin, dass die NetScaler ADC und NetScaler Gateway Versionen 12.1 und 13.0. obsolet sind und nicht mehr unterstützt werden. Ein Update auf unterstütze Versionen, welche die Schwachstellen beheben, wird empfohlen.
Einschätzung der Bedrohung:
Die Schwachstellen wurden bereits in den Known Exploited Vulnerabilities Katalog der CISA aufgenommen, dies weist darauf hin, dass bereits Angriffe auf verwundbare Systeme beobachtet wurden.
Citrix berichtet ebenfalls von Angriffsversuchen gegen verwundbare Systeme, welche zumindest die kritische Schwachstelle CVE-2025-7775 auszunutzen versuchten.
Neben detaillierten Vorgehensweisen um die eigenen Systeme auf Verwundbarkeit bezüglich CVE-2025-7775 und CVE-2025-7776 zu überprüfen, weist Citrix darauf hin, dass keine Workarounds zur Mitigation dieser Lücken existieren.
CVE-2025-7775:
Customers can determine if they have an appliance configured as one of the following by inspecting their NetScaler Configuration for the specified strings
An Auth Server (AAA Vserver)
add authentication vserver .*
A Gateway (VPN Vserver, ICA Proxy, CVPN, RDP Proxy)
add vpn vserver .*
LB vserver of Type HTTP_QUIC | SSL | HTTP bound with IPv6 services or servicegroups bound with IPv6 servers:
enable ns feature Ib.*
add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*
add server .* <IPv6>
bind servicegroup <servicegroup name> <IPv6 server> .*
add Ib server .* (HTTP_QUIC | SSL | HTTP) .*
bind Ib vserver .* <ipv6 servicegroup name>
LB vserver of Type HTTP_QUIC | SSL | HTTP bound with DBS IPv6 services or servicegroups bound with IPv6 DBS servers:
enable ns feature Ib.*
add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*
add server .* <domain> -queryType AAAA
add service .* <IPv6 DBS server>
bind servicegroup <servicegroup name> <IPv6 DBS server> .*
add Ib vserver .* (HTTP_QUIC | SSL | HTTP) .*
bind Ib vserver .* <ipv6 servicegroup name>
CR vserver with type HDX:
add cr vserver .* HDX .*
CVE-2025-7776:
Customers can determine if they have an appliance configured by inspecting their ns.conf file for the specified strings
A Gateway (VPN vserver) with PCoIP Profile bounded to it
add vpn vserver .* -pcoipVserverProfileName .*
Weiterführende Links:
https://www.cert.at/de/warnungen/2025/8/citrix-netscaler-adc-schwachstellen-cve-2025-7775
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938
https://www.cve.org/CVERecord?id=CVE-2025-7776
https://www.cve.org/CVERecord?id=CVE-2025-7775
https://www.cve.org/CVERecord?id=CVE-2025-8424
