Citrix Bleed Teil 2: Wird Schwachstelle CVE-2025–5777 bereits ausgenutzt?

Publiziert am 30. Juni 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Tage hatte ich über gravierende Schwachstellen in Citrix NetScaler ADC und das NetScaler Gateway berichtet, die zeitnah gepatcht werden sollten. Zum 23. Juni 2025 wurde die Beschreibung der Sicherheitslücke CVE-2025–5777 (CVSS 9.3) geändert, diese ist noch kritischer als gedacht. Citrix Bleed 2 ist quasi zurück und nun gibt es die Warnung, dass Angriffsversuche auf Citrix-Instanzen beobachtet werden.

Anzeige

Citrix Bleed 2 durch CVE-2025-5777?

Zum 18. Juni 2025 hatte ich im Blog-Beitrag Citrix Netscaler ADC: Kritische Sicherheitslücken dringend fixen über mehrere Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway berichtet und dringend zum Patchen geraten. Die Schwachstelle CVE-2025-5777 (CVSS 9.3) in NetScaler ADC und im NetScaler Gateway ermöglicht das Lesen außerhalb des zulässigen Speichers (Memory Overread) durch eine unzureichende Eingabevalidierung (Insufficient Input Validation). Initial wurde das Problem nur auf die NetScaler Management-Schnittstelle bezogen.

Betroffen sind NetScaler-Systeme, die als Gateway konfiguriert sind (z.B. VPN vServer, ICA Proxy, Citrix Virtual Private Network, RDP Proxy oder AAA vServer). Ein erfolgreicher Angriff kann zum Auslesen sensibler Daten führen.

Zum 23. Juni 2025 gab es eine Aktualisierung der Beschreibung zu CVE-2025-5777, in der der Hinweis, dass nur die NetScaler Management-Schnittstelle betroffen sei, gestrichen wurde. Citrix Security hat das Bulletin Alert CTX694788 zur Schwachstelle CVE-2025-6543 (CVSS Index 9.2) veröffentlicht. Die folgenden Versionen von NetScaler ADC und NetScaler Gateway sind von der Schwachstelle betroffen:

  • NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.46
  • NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.19
  • NetScaler ADC 13.1-FIPS and NDcPP  BEFORE 13.1-37.236-FIPS and NDcPP

NetScaler ADC 12.1-FIPS ist nicht betroffen, heißt es. Im Beitrag Citrix Bleed Teil 2: Schwachstelle CVE-2025–5777 weitet sich aus hatte ich Sicherheitsforscher Kevin Beaumont zitiert, der schreibt, dass die Schwachstelle es einem Angreifer ermöglicht, den Speicher des Netscalers auszulesen, wenn dieser als Gateway oder virtueller AAA-Server konfiguriert ist. Er erwähnt den Fernzugriff über Citrix, RDP usw. Diese Konfiguration ist in großen Unternehmen sehr verbreitet.

In seinem Blog-Beitrag CitrixBleed 2: Electric Boogaloo — CVE-2025–5777 skizziert er Details und zeigt eine Suchanfrage an Shodan.io, die für Deutschland über 6.800 Treffer zeigt. Beaumont gibt den Ratschlag, die dem Internet ausgesetzten Citrix Netscaler-Instanzen zu identifizieren, schnellstmöglich zu patchen, und die Sessions zu beenden. Denn spätestens, wenn ein Exploit für CVE-2025-5777 verfügbar ist und von Cyberangreifern ausgenutzt wird, ist Citrix Bleed 2 zurück.

Anzeige

Angriffe auf Citrix Netscaler beobachtet

Noch scheint kein öffentlicher Exploit für CVE-2025-5777 und weitere Schwachstellen bekannt. Aber den Kollegen von Bleeping Computer ist ein Hinweis Threat Spotlight: CVE-2025-5777: Citrix Bleed 2 Opens Old Wounds der ReleaQuest-Sicherheitsforschern aufgefallen.

Die Sicherheitsforscher schreiben, dass Citrix ein Advisory für CVE-2025-5777 veröffentlicht habe, das NetScaler ADC- und Gateway-Geräte betrifft. Die Schwachstelle ermöglicht Angreifern, Benutzersitzungen zu kapern und die Authentifizierung zu umgehen.

Obwohl es keine öffentlichen Berichte über die Ausnutzung dieser Schwachstelle gibt, hat ReliaQuest die nachfolgenden Versuche zur Ausnutzung dieser Schwachstelle, um einen ersten Zugang zu erhalten, beobachtet.

  • Gekaperte Citrix-Websitzung vom NetScaler-Gerät. Die Authentifizierung wurde ohne Wissen des Benutzers gewährt, was auf eine Umgehung der MFA hindeutet.
  • Wiederverwendung von Sitzungen über mehrere IPs, einschließlich Kombinationen aus erwarteten und verdächtigen IPs.
  • LDAP-Abfragen im Zusammenhang mit Aktivitäten zur Active Directory-Auskundschaftung.
  • Mehrere Instanzen des Tools ADExplorer64.exe in der gesamten Umgebung, die Gruppen und Berechtigungen auf Domänenebene abfragen und Verbindungen zu mehreren Domänencontrollern herstellen.
  • Citrix-Sitzungen, die von IP-Adressen stammen, die in Rechenzentren gehostet werden (z.B. Verwendung von VPN-Diensten).

Administratoren sollten die Citrix-Firmware auf die Versionen 14.1-43.56+, 13.1-58.32+ oder 13.1-FIPS/NDcPP 13.1-37.235+ aktualisieren, um die Schwachstelle zu beseitigen. Im Anschluss an die Installation der neuesten Firmware sollten Administratoren alle aktiven ICA- und PCoIP-Sitzungen beenden, da diese möglicherweise bereits gekapert wurden.

Anzeige
Dieser Beitrag wurde unter Geräte, Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.