[English]Ist jemand unter der Leserschaft für Citrix NetScaler ADC und das NetScaler Gateway als Administrator verantwortlich. Die Tage hatte ich über gravierende Schwachstellen berichtet, die zeitnah geschlossen werden sollten. Nun hat Citrix die Beschreibung von CVE-2025–5777 geändert, die Sicherheitslücke (CVSS 9.3) ist noch kritischer als gedacht. Citrix Bleed 2 ist quasi zurück und ungepatchte Instanzen sind äußerst gefährdet.
Rückblick: Was war Citrix Bleed (CVE-2023-4966)?
Zum 10. Oktober 2023 hatte der Anbieter Citrix eine Sicherheitswarnung CTX579459 vor den kritischen Schwachstellen CVE-2023-4966 and CVE-2023-4967) in NetScaler ADC and NetScaler Gateway herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt.
Bei der später als Citrix Bleed bezeichneten Schwachstelle CVE-2023-4966 handelt es sich um eine Information Disclosure-Schwachstelle, die mit dem CVSS Index 9.4 eingestuft wurde. Über die Schwachstelle lassen sich Informationen abziehen. Angreifer konnten Sitzungs-Tokens stehlen und für Angriffe nutzen. Das wurde von der Ransomware-Graupp Lockbit praktiziert. Ich hatte in den am Beitragsende verlinkten Blog-Beiträgen über den Sachverhalt informiert.
Citrix NetScaler ADC ist ein Netzwerkgerät, das Load Balancing-, Firewall- und VPN-Dienste bereitstellt. Citrix NetScaler Gateway bezieht sich in der Regel auf die VPN- und Authentifizierungskomponenten, während ADC sich auf die Lastausgleichs- und Verkehrsmanagementfunktionen bezieht. Die Produkte sind immer wieder für Probleme und Schwachstellen gut.
Citrix Netscaler ADC-Schwachstelle CVE-2025-5777 (Juni 2025)
Zum 18. Juni 2025 hatte ich im Blog-Beitrag Citrix Netscaler ADC: Kritische Sicherheitslücken dringend fixen über mehrere Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway berichtet und dringend zum Patchen geraten.
Zur Schwachstelle CVE-2025-5777 (CVSS 9.3) hieß es, dass der NetScaler ADC und das NetScaler Gateway durch eine unzureichende Eingabevalidierung (Insufficient Input Validation) betroffen sind. Diese führt einem Lesen außerhalb des zulässigen Speichers (Memory Overread) auf der NetScaler Management-Schnittstelle.
Betroffen sind NetScaler-Systeme, die als Gateway konfiguriert sind (z.B. VPN vServer, ICA Proxy, Citrix Virtual Private Network, RDP Proxy oder AAA vServer). Ein erfolgreicher Angriff kann zum Auslesen sensibler Daten führen.
Nur am Rande erwähnt, Anfang Juni 2025 wurde ein kritischer Bug (CVE-2025-20286) in der Cisco ISE Authentifizierung bekannt. Laut Cisco Sicherheitswarnung wurden statische Passwörter in der Cloud generiert.
Citrix Bleed 2 durch CVE-2025-5777?
Zum 23. Juni 2025 gab es wohl eine Aktualisierung der Beschreibung zu CVE-2025-5777. Hieß es zum 17. Juni 2025 noch, dass man das "Netscaler Management Interface" wegen der Schwachstelle nicht dem Internet aussetzen sollte. Der Verweis auf das Netscaler Management Interface ist zum 23. Juni 2025 entfallen (lässt sich unter CVE-2025-5777 nachschlagen, wenn man am Seitenende unter "Change History" auf den Link "show changes" klickt.
Sicherheitsforscher Kevin Beaumont ist dies aufgefallen und er hat sich auf Double-Pulsar im Artikel CitrixBleed 2: Electric Boogaloo — CVE-2025–5777 darüber ausgelassen (Florian Roth weist in obigem Tweet darauf hin). Beaumont schreibt, dass die Schwachstelle es einem Angreifer ermöglicht, den Speicher des Netscalers auszulesen, wenn dieser als Gateway oder virtueller AAA-Server konfiguriert ist. Er erwähnt den Fernzugriff über Citrix, RDP usw. Diese Konfiguration ist in großen Unternehmen sehr verbreitet.
In seinem Blog-Beitrag skizziert er Details und zeigt eine Suchanfrage an Shodan.io, die für Deutschland über 6.800 Treffer zeigt. Beaumont gibt den Ratschlag, die dem Internet ausgesetzten Citrix Netscaler-Instanzen zu identifizieren, schnellstmöglich zu patchen, und die Sessions zu beenden. Denn spätestens, wenn ein Exploit für CVE-2025-5777 verfügbar ist und von Cyberangreifern ausgenutzt wird, ist Citrix Bleed 2 zurück und das Kind in den Brunnen gefallen.
Nachtrag: Citrix Security Bulletin Alert CTX694788
Blog-Leser Gero K. hat mir einen Auszug aus dem Citrix Security Bulletin Alert CTX694788 vom 25. Juni 2025 zukommen lassen (danke dafür). Das betrifft die Schwachstelle CVE-2025-6543 (CVSS Index 9.2). Bei "Affected Versions" heißt es, dass die folgenden Versionen von NetScaler ADC und NetScaler Gateway von der Schwachstelle betroffen seien:
- NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.46
- NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.19
- NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.236-FIPS and NDcPP
NetScaler ADC 12.1-FIPS ist nicht betroffen, heißt es.
Ähnliche Artikel:
Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar
Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus
"Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
Citrix Netscaler ADC: Kritische Sicherheitslücken dringend fixen
MVP: 2013 – 2016
Übrigens hat Citrix heute Vormittag eine weitere neue Firmware für die Version 13.1 veröffentlicht (Build 13.1-59.19). Durch diese Firmware sollen ebenfalls Sicherheitslücken gefixt werden. Welche genau ist beschrieben in dem KB-Artikel unter https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
Lässt sich aktuell noch nicht öffnen ("The article is no longer available or you are not authorised to view it."), auch nicht nach Login. Für die andere noch unter Support stehende Netscaler-Version 14.1 wurde bisher nichts veröffentlicht.
Es bleibt spannend…
Ein kurzer Nachtrag noch zu meinem Kommentar vorhin:
Nun ist der KB Artikel einsehbar unter https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
Betroffen ist auch die Netscaler-Version 14.1. Hier wurde am 13.06.25 die Firmware 14.1 Build 47.46 veröffentlicht und am 17.06.25 die von der Bezeichnung her ältere Firmware 14.1 Build 43.56 – der Grund hierfür wurde in dem Blog schon einmal aufgegriffen. Wer nach der Schwachstellen CVE-2025-5349 und CVE-2025-5777 auf die Firmware 14.1 Build 43.56 (mit eigentlich neuerem Datum) gesprungen ist, sollte nun dringend auf Firmware 14.1 Build 47.46 hochziehen. Es handelt sich um CVE-2025-6543, CVSS Index 9.2
Netscaler ist auch so eine Dauerbaustelle/Schwachstelle. Wir sind froh, dass wir Citrix vor einem Jahr aussortiert haben.
Was habt ihr denn stattdessen im Einsatz?
würde mich auch interessieren
Hab ich mal vor Jahren gesehen, als ich mich wo als Admin beworben habe: Mehrere Blade-Server, mein potentiell zukünftiger Kollege war ganz stolz auf sein Konstrukt, auf jedem Blade war einzeln Windows 7 installiert und per eigener IP (Portforwarding 3389 auf einem Gateway) über eine öffentliche IP erreichbar. Der Laden leistete sich für diesen Citrix-Ersatz ein ganzes öffentliches Class-C-Netz. Jeder Benutzer hatte einen eigenen Blade, voll im AD integriert und lokale Adminrechte, Firewall natürlich überall aus, was kann schon passieren? Es hätte also genug aufzuräumen gegeben, aber wenn der Wahnsinn schon so ein System hat, dachte ich mir, dann bin ich der Typ mit Besenstil und Holzschild, der verkehrt rum auf einem Esel sitzend eine Attacke gegen eine Windmühle reiten will. Musste nicht sein, so fürstlich war die Bezahlung nicht.
Ich würde mal auf Parallels RAS oder vielleicht auch AVD (auf Azure Local) tippen.
Hängt am Ende halt von den Anforderungen ab. Mit "Abstrichen" findet sich sicherlich was. Sobald eine Teams (Zoom, …) Optimierung ein Muss ist, wird es aber direkt schon wieder eng. Ebenfalls sind die Alternativen mit einer Kombination wie es Netscaler + CVAD ist rar.
Ansonsten halt auch RD Web + RD GW (+ HTML5) Client mit Azure App Proxy / WAF davor oder das ganze per Apache Guacamole. Ggfs noch GO Remote Desktop Gateway oder das ThinCast RD Gateway.
Da Citrix dem kostenlosen Netscaler VPX Express / Freemium Ende letzten Jahres eine Platinum Lizenz spendiert hat, lässt sich der im Kleinen echt gut als RDP Proxy einsetzen. Das in Kombination mit einem Duo free Plan für bis zu 10 User: Nice.
BTW.: Der Azure Virtual Desktop läuft auch außerhalb von Azure / Azure Local (vermutlich) auf jedem Hypervisor oder Blech. Ich habe das bislang nur unter Hyper-V getestet.
Das Update vom 13.6 ist installiert, aber nun versteht unser Siem den Syslog Stream vom Gateway nicht mehr vollständig, da hat sich was bei erfolgreichen Logins verändert, jetzt haben wir diese Ereignisse nicht mehr erfasst und Geohopping-Alarme funktionieren nicht mehr. Ticket beim Siem-Hersteller ist offen, die müssen den Parser anpassen.
die üblichen netscaler katastrophen, wer noch immer produkte aus dem hause citrix einsetzen muss, dem ist nicht mehr zu helfen.
Was sind denn vergleichbare Alternativen die VPN, Load Balancing und Terminalserver Dienste können?
In der Skalierung? Nüscht. Citrix ist da nicht umsonst quasi in "Monopolstellung". Da diese und die Sicherheitslücke davor auch quasi die ersten seit längerer Zeit waren, ist dieser Hate gegen Citrix absoluter quatsch.
Kommt meistens von Leuten die im Grunde einfach keine Ahnung haben, wie man ne Citrix-Umgebung richtig einstellt und verwaltet.
In dem Bereich mit ähnlich hoher Verbreitung fällt mir nur F5 Big IP ein evtl. noch der Kemp Loadmaster.
Spoiler: Aber auch da soll es – wie bei vielen Appliances "in diesem Bereich" mit hoher Verbreitung – immer mal wieder entsprechende Schwachstellen geben.