08.07.2025 14:30
Aktiv ausgenutzte Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway
In den vergangenen Wochen hat Citrix mehrere Sicherheitsaktualisierungen für insgesamt drei Sicherheitslücken in seinen Produkten NetScaler ADC und NetScaler Gateway veröffentlicht:
- CVE-2025-6543, CVSS-Score 9.2
- CVE-2025-5349, CVSS-Score 8.7
- CVE-2025-5777, CVSS-Score 9.3, auch bekannt als "CitrixBleed 2"
Zum Zeitpunkt der Veröffentlichung der Advisories sowie der dazugehörigen Aktualisierungen gab es laut Citrix keine aktive Ausnutzung der Schwachstellen, was bereits damals durch Sicherheitsxpert:innen angezweifelt wurde. Inzwischen mehren sich die Stimmen die von einer aktiven Ausnutzung durch Bedrohungsakteure sprechen. Weiters gibt es Indizien dafür, dass dies bereits seit mehreren Wochen der Fall sein könnte.
Da uns aktuell kaum technische Details zu möglichen Angriffen vorliegen können wir momentan noch keine genauen Anleitungen bzw. Empfehlungen zur Erkennung von Angriffsversuchen bzw. bereits erfolgten Kompromittierungen geben.
Laut Berichten in den sozialen Medien gibt es jedoch einige Anzeichen für eine Ausnutzung von CVE-2025-5777:
- Logeinträge über wiederholte POST-Requests an den Endpunkt
/p/u/doAuthentication, insbesondere mitContent-Length: 5 - Logeinträge mit den Zeilen
LOGOFFdurch eine:n Benutzer:in mit einem#im Benutzer:innennamen
Betreiber:innen sind dennoch dringend angehalten zu prüfen, ob möglicherweise bereits vor dem Einspielen der zur Verfügung stehenden Patches eine Kompromittierung stattgefunden hat. Beispielsweise durch eine genaue Betrachtung von ein- und ausgehenden Verbindungen oder sonstigen ungewöhnlichen Aktivitäten auf möglicherweise betroffenen Systemen.
Auch wird von Citrix selbst angeraten, bestehende ICA- und PCoIP-Sessions zu terminieren, dies sollte jedoch erst geschehen nachdem diese auf möglicherweise verdächtige Verbindungen untersucht worden sind. Eine Beschreibung der Schritte um dies je nach System zu tun findet sich in der Dokumentation des Herstellers. Wir beobachten die Situation weiterhin und werden diese Veröffentlichung gegebenenfalls aktualisieren und um neue Informationen ergänzen.