Neue Sicherheitslücke in Citrix NetScaler: CitrixBleed 2 bedroht Unternehmensnetzwerke

LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Citrix NetScaler ADC und Gateway, bekannt als ‘CitrixBleed 2’, hat die Aufmerksamkeit der IT-Sicherheitsbranche erregt. Diese Schwachstelle ermöglicht es Angreifern, Authentifizierungssitzungen zu kapern und stellt eine erhebliche Bedrohung für Unternehmen dar, die diese Systeme nutzen.

Die neu entdeckte Schwachstelle in Citrix NetScaler ADC und Gateway, die als ‘CitrixBleed 2’ bezeichnet wird, erinnert an eine frühere Sicherheitslücke, die es Angreifern ermöglichte, Authentifizierungscookies von anfälligen Geräten zu stehlen. Diese Schwachstelle, die unter den Bezeichnungen CVE-2025-5777 und CVE-2025-5349 bekannt ist, betrifft NetScaler ADC und Gateway-Versionen vor 14.1-43.56 sowie einige spezifische FIPS-Versionen.

Die kritische Schwachstelle CVE-2025-5777 resultiert aus einem Out-of-Bounds-Speicherzugriff, der es Angreifern ermöglicht, auf Speicherbereiche zuzugreifen, die normalerweise geschützt sind. Diese Schwachstelle betrifft NetScaler-Geräte, die als Gateway oder AAA-Virtual-Server konfiguriert sind. Laut dem Cybersicherheitsforscher Kevin Beaumont ähnelt diese Schwachstelle der berüchtigten ‘CitrixBleed’-Lücke aus dem Jahr 2023, die von Bedrohungsakteuren, einschließlich Ransomware-Gruppen und staatlichen Akteuren, ausgenutzt wurde.

Beaumont beschreibt CVE-2025-5777 als ‘CitrixBleed 2’ und warnt, dass Angreifer möglicherweise auf Sitzungstoken, Anmeldedaten und andere sensible Daten von öffentlich zugänglichen Gateways und virtuellen Servern zugreifen könnten. Gestohlene Tokens könnten wiederverwendet werden, um Benutzersitzungen zu kapern und die Multi-Faktor-Authentifizierung zu umgehen.

Zusätzlich zu dieser kritischen Schwachstelle gibt es ein weiteres, hochgradig gefährliches Problem, das als CVE-2025-5349 bekannt ist. Dieses Problem betrifft die Zugriffskontrolle in der NetScaler Management-Schnittstelle und kann ausgenutzt werden, wenn ein Angreifer Zugriff auf bestimmte Management-IP-Adressen hat.

Um beide Risiken zu mindern, empfiehlt Citrix den Benutzern, auf die neuesten Versionen von NetScaler ADC und Gateway zu aktualisieren. Obwohl Citrix nicht bestätigt hat, ob diese Schwachstellen aktiv ausgenutzt werden, raten sie Administratoren, alle aktiven ICA- und PCoIP-Sitzungen zu beenden, sobald alle Geräte aktualisiert wurden.

Charles Carmakal, CTO von Mandiant, betont die Wichtigkeit, Sitzungen nach der Aktualisierung zu beenden, um zu verhindern, dass zuvor gestohlene Sitzungen weiterhin genutzt werden. Viele Organisationen haben bei der Behebung einer ähnlichen Schwachstelle im Jahr 2023 versäumt, Sitzungen zu beenden, was zu Kompromittierungen durch staatliche Akteure oder Ransomware führte.

Die Schwachstellen betreffen auch ältere Versionen von ADC/Gateway, die keine Patches mehr erhalten. Benutzer dieser Versionen sollten so schnell wie möglich auf unterstützte Versionen umsteigen.

Internet-Scans von Beaumont zeigen über 56.500 öffentlich zugängliche NetScaler ADC- und Gateway-Endpunkte, wobei unklar ist, wie viele davon anfällige Versionen ausführen. Die Automatisierung von Patches wird zunehmend als Lösung angesehen, um den Aufwand zu reduzieren und die Sicherheit zu erhöhen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!