Kritische Schwachstellen in Citrix NetScaler ADC & NetScaler Gateway

[English]Administratoren von Citrix NetScaler ADC und NetScaler Gateway müssen reagieren, da neue kritische Schwachstellen (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) bekannt wurden. Citrix schreibt, dass bereits die Ausnutzung einer Schwachstelle über Exploits beobachtet wurde.

Schwachstellen in Citrix NetScaler ADC & Co.

Citrix hat ein Security Bulletin zu kritischen Schwachstellen in Citrix NetScaler ADC und im Citrix NetScaler Gateway herausgegeben. Ich bin über einen Kommentar von Michael  Müller im Diskussionsbereich des Blogs (danke) sowie folgenden Tweet auf die Sicherheitswarnung gestoßen.

Citrix hat zum 26. August 2025 die Sicherheitswarnung NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424 veröffentlicht. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere kritische Sicherheitslücken entdeckt.

• CVE-2025-7775: CVSS 4.0 Score 9.2; Speicherüberlauf (Memory overflow) kann zu Remote-Code-Ausführung und/oder Denial-of-Service führen
• CVE-2025-7776: CVSS 4.0 Score 8.8; Speicherüberlauf (Memory overflow) kann zu Remote-Code-Ausführung und/oder Denial-of-Service führen
• CVE-2025-8424: CVSS 4.0 Score 8.8; Unzulässige Zugriffskontrolle auf der NetScaler-Verwaltungsschnittstelle in NetScaler ADC und NetScaler Gateway, wenn ein Angreifer Zugriff auf die NSIP-Adresse des Geräts, die Cluster-Verwaltungs-IP-Adresse oder die lokale GSLB-Standort-IP-Adresse oder SNIP-Adresse mit Verwaltungszugriff erhalten kann.

Die Schwachstellen können nur bei bestimmten Konstellationen ausgenutzt werden, die im Citrix Security Bulletin CTX694938 aufgeführt sind. Betroffen von diesen Schwachstellen sind folgende Citrix-Produkte:

• NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.48
• NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.22
• NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.241-FIPS and NDcPP
• NetScaler ADC 12.1-FIPS and NDcPP BEFORE 12.1-55.330-FIPS and NDcPP

Citrix schreibt, dass Exploits der Schwachstelle CVE-2025-7775 auf ungeschützten Geräten beobachtet wurden. Das ist aber die Schwachstelle, die ich im Beitrag Citrix Bleed Teil 2: Wird Schwachstelle CVE-2025–5777 bereits ausgenutzt? zum 30. Juni 2025 genannt habe.

Administratoren sollten patchen

Administratoren, die für die Aktualisierung der betroffenen Produkte verantwortlich sind, sollten sich dringend und zeitnah um eine Absicherung kümmern. Citrix hat folgende korrigierten Versionen bereitgestellt:

• NetScaler ADC und NetScaler Gateway 14.1-47.48 und spätere Versionen
• NetScaler ADC und NetScaler Gateway 13.1-59.22 und spätere Versionen von 13.1
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und spätere Versionen von 13.1-FIPS und 13.1-NDcPP
• NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und spätere Versionen von 12.1-FIPS und 12.1-NDcPP

NetScaler ADC und NetScaler Gateway der Versionen 12.1 und 13.0 sind nun auslaufend (End Of Life, EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Sicherheitslücken beheben. Im Citrix Security Bulletin CTX694938 finden sich Hinweise, wie sich angreifbare Konfigurierungen erkennen lassen.

Viele ungepatchte Instanzen

Ich habe mal bei hunter.io geschaut – in nachfolgendem Tweet schreiben die, dass über 183.900 angreifbare Instanzen gefunden wurden.

Deutschland wird hier mit 3.100 angreifbaren Instanzen ausgewiesen. Das Ganze wird allerdings etwas "verwirrend", denn Citrix soll gemäß diesem Artikel zum 17. Juni 2025 die ausgenutzte (Citrix Bleed2-Schwachstelle CVE-2025-5777) geschlossen haben.