Am 17. Juni 2025 veröffentlichte die Cloud Software Group ein Security Bulletin (CTX693420) zu zwei neu entdeckten, kritischen Schwachstellen in NetScaler ADC und NetScaler Gateway (vormals Citrix ADC / Citrix Gateway). Die betroffenen Komponenten werden in zahlreichen Unternehmensinfrastrukturen zur sicheren Anwendungsbereitstellung und VPN-Zugängen eingesetzt – umso alarmierender ist der potenzielle Angriffsvektor dieser Schwachstellen.
CVE-2025-5349 – Improper Access Control
- Beschreibung: Diese Lücke erlaubt unautorisierten Zugriff auf die NetScaler-Managementoberfläche.
- Voraussetzung: Der Angreifer benötigt Zugriff auf eine der folgenden IPs:
- NSIP (NetScaler IP)
- Cluster Management IP
- lokale GSLB Site IP
- CWE-Kategorie: CWE-284 (Unzureichende Zugriffskontrolle)
- CVSS v4.0 Score: 8.7 – Kritisch
CVE-2025-5777 – Memory Overread durch fehlerhafte Eingabeverarbeitung
- Beschreibung: Eine unzureichende Eingabevalidierung ermöglicht das Auslesen von Speicherinhalten – typischerweise ein erster Schritt zu einem Exploit.
- Voraussetzung: Der NetScaler muss in einer der folgenden Gateway-Konfigurationen laufen:
- VPN virtual server
- ICA Proxy
- Clientless VPN (CVPN)
- RDP Proxy
- AAA virtual server
- CWE-Kategorie: CWE-125 (Out-of-Bounds Read)
- CVSS v4.0 Score: 9.3 – Kritisch
Die Schwachstellen betreffen alle Versionen der folgenden Produkte, sofern sie unterhalb der genannten Patch-Stände liegen:
| Produktversion | Betroffen, wenn älter als… |
|---|---|
| NetScaler ADC/Gateway 14.1 | 14.1-43.56 |
| NetScaler ADC/Gateway 13.1 | 13.1-58.32 |
| NetScaler ADC 13.1-FIPS & NDcPP | 13.1-37.235 |
| NetScaler ADC 12.1-FIPS | 12.1-55.328 |
Wichtig: Die Versionen 12.1 und 13.0 befinden sich im End-of-Life (EOL) und erhalten keine Sicherheitsupdates mehr. Sie gelten ebenfalls als verwundbar.
Auch Secure Private Access-Instanzen (on-prem oder hybrid), die auf NetScaler basieren, sind betroffen.
Die Citrix fordert alle Kunden dringend auf, folgende Schritte umzusetzen:
- Patchen Sie auf die aktuellsten Versionen, abhängig von Ihrer NetScaler-Ausgabe.
- Beenden Sie nach der Aktualisierung aktiv laufende ICA- und PCoIP-Sitzungen, um Restverbindungen abzusichern:
kill icaconnection -all kill pcoipConnection -all - Überprüfen Sie alle extern zugänglichen Interfaces (NSIP etc.), um unautorisierte Managementzugriffe zu vermeiden.
- Für EOL-Versionen ist ein Upgrade unumgänglich – Migration auf unterstützte Plattformen sollte mit höchster Priorität erfolgen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: