Citrix Netscaler ADC: Kritische Sicherheitslücken dringend fixen

[English]Verschiedene Blog-Leser haben mich informiert, dass der Anbieter Citrix zum 17. Juni 2025 gleich mehrere Sicherheitshinweise zu kritischen Schwachstellen im Netscaler ADC veröffentlicht hat. Administratoren sind aufgefordert, die betroffenen Produkte zeitnah auf die gefixten Versionen zu aktualisieren.

Passt irgendwie wie die Faust aufs Auge – am 19. Juni 2025 ist Feiertag und einige Administratoren gehen möglicherweise in ein verlängertes Wochenende. Hier die Informationen zu diesen Schwachstellen, die Gänseblümchen hier gepostet hat (danke).

NetScaler ADC und NetScaler Gateway-Schwachstellen

Es sind die nachfolgenden Schwachstellen im Citrix NetScaler ADC und NetScaler Gateway öffentlich geworden.

CVE-2025-5349: NetScaler Management-Oberfläche

Bei  CVE-2025-5349 (CVSS 8.7) ist die Management-Oberfläche des NetScaler durch eine "Improper Access Control"-Schwachstelle betroffen. Ein Angreifer mit Zugriff auf die Network Services IP (NSIP), Cluster Management IP oder lokale GSLB Site IP kann unautorisierten Zugriff auf die Management-Oberfläche erlangen. Voraussetzung für einen erfolgreichen Angriff ist der Netzwerkzugang zu diesen IP-Adressen.

CVE-2025-5777: NetScaler als Gateway

Bei CVE-2025-5777 (CVSS 9.3) sind der NetScaler ADC und das NetScaler Gateway  durch eine unzureichende Eingabevalidierung (Insufficient Input Validation) betroffen. Diese führt einem Lesen außerhalb des zulässigen Speichers (Memory Overread) auf der NetScaler Management-Schnittstelle.

Betroffen sind NetScaler-Systeme, die als Gateway konfiguriert sind (z.B. VPN vServer, ICA Proxy, Citrix Virtual Private Network, RDP Proxy oder AAA vServer). Ein erfolgreicher Angriff kann zum Auslesen sensibler Daten führen.

Ergänzung: Die Beschreibung der Schwachstelle wurde zum 23. Juni 2025 modifiziert – ich habe die Implikationen im Beitrag Citrix Bleed Teil 2: Schwachstelle CVE-2025–5777 weitet sich aus beschrieben.

CVE-2025-0320 Citrix Secure Access Client for Windows

Zudem gibt es noch die Schwachstelle CVE-2025-0320 im Citrix Secure Access Client for Windows, die mit einem CVSS von 8.6 als High bewertet wurde. Die Local Privilege Escalation-Schwachstelle ermöglicht es einem Benutzer mit geringen Privilegien, SYSTEM-Rechte im Citrix Secure Access Client für Windows zu erlangen.

Citrix-Sicherheitshinweise und betroffene Versionen

Von den Schwachstellen sind die NetScaler ADC- und Gateway-Versionen 14.1 vor 14.1-43.56, 13.1 vor 13.1-58.32 sowie diverse FIPS-Varianten betroffen. Wichtig: Ältere Versionen (12.1 und 13.0) sind End-of-Life (EOL) und erhalten keine Sicherheitsupdates mehr.

Von Citrix ist die empfohlene Maßnahme ein umgehendes Update auf die gepatchten Versionen (z.B. 14.1-43.56, 13.1-58.32). Nach dem Update sollten alle aktiven ICA- und PCoIP-Sitzungen auf allen NetScaler-Appliances beendet werden, um eine vollständige Absicherung zu gewährleisten. Ein Leser hat mir noch einen Link auf den Artikel Citrix NetScaler ADC and Gateway Vulnerabilities Allow Attackers to Access Sensitive Data geschickt, wo ein Überblick zu finden ist.

Von Citrix selbst wurden die folgenden Sicherheitshinweise mit weiteren Details veröffentlicht (siehe diesen Kommentar).

• CTX693420 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-5349 and CVE-2025-5777),
• CTX694718 (Citrix Workspace app for Windows Security Bulletin CVE-2025-4879)
• CTX694724 (Citrix Secure Access Client for Windows Security Bulletin for CVE-2025-0320)

Zudem kam von einem Leser der Hinweis auf CTX694729 (NetScaler Console and NetScaler SDX (SVM), CVE-2025-4365) – hat er wohl per E-Mail von Citrix erhalten. Der Leser verband mit seinem Hinweis die Frage: Kann mir jemand erklären, warum die Citrix ADC-Version „14.1 Build 47.46" älter ist (13. Juni), die Build-Nummer aber höher ist als die der neueren Version „14.1 Build 43.56" (17. Juni)? Ich dachte immer, Build-Nummern würden in der Reihenfolge des Veröffentlichungsdatums benannt.