„Citrix Bleed 2“: Aktuelle Angriffswarnungen

IT-Sicherheitsforscher haben in den vergangenen Tagen massiv erhöhte Angriffszahlen auf die „Citrix Bleed 2“ genannte Schwachstelle in Citrix Netscaler sowie zwei weitere beobachtet. Zudem stehen mehrere tausend verwundbare Systeme offen im Internet.

Die Shadowserver Foundation hat am Dienstag Zahlen auf Blusky veröffentlicht, wonach 3312 Netscaler-Systeme für die Schwachstelle CVE-2025-5777 – diese hat den Spitznamen „Citrix Bleed 2“ erhalten – und 4142 für CVE-2025-6543 anfällig sind. Fortinet hat zudem am vergangenen Donnerstag eine Ausbruchswarnung veröffentlicht, der zufolge das Unternehmen seit Ende Juli einen starken Anstieg von Angriffsversuchen auf die „Citrix Bleed 2“-Lücke beobachtet hat. Global haben die Fortinet-Sensoren seitdem mehr als 6000 Angriffe gesehen.

Wie die Fortinet-Forscher ausführen, stehen insbesondere die USA, Australien, Deutschland sowie das Vereinigte Königreich im Fokus der Angreifer. Die haben es auf hochkarätige Ziele aus den Bereichen Technologie, Banking, Gesundheitswesen und Bildung abgesehen. Insgesamt geht es bei den Angriffen um drei Schwachstellen, die derzeit auffallen: zum einen „Citrix Bleed 2“, zum anderen die schon seit den ersten Berichten missbrauchte Lücke CVE-2025-6543 – ein Speicherüberlauf, der zu ungewünschten Kontrollfluss und Denial-of-Service in Netscaler führen kann, wenn der als VPN-Server oder AAA Virtual Server konfiguriert ist – und schließlich CVE-2025-5349, wohinter sich eine unzureichende Zugriffskontrolle im Netscaler Management Interface verbirgt.

Niederländische Cybersicherheitsbehörde warnt vor Angriffen

Die niederländische Cybersicherheitsbehörde NCSC hat zudem am Montag eine Aktualisierung ihres Berichts zu der Speicherüberlauf-Schwachstelle CVE-2025-6543 vorgenommen. Demnach hat die Behörde nach den ersten beobachteten Exploit Mitte Juli weitere fortschrittliche Angriffe auf niederländische Organisationen beobachtet. Eine oder mehrere Angreifer haben die Lücke zum Einbruch missbraucht und ihre Spuren aktiv gelöscht, um die Kompromittierung der Organisationen zu verschleiern. Es sei jedoch unklar, ob die Täter noch aktiv seien und welche Organisationen kompromittiert wurden. Die Untersuchungen dauern noch an.

IT-Verantwortliche, die Citrix Netscaler einsetzen, sollten umgehend die verfügbaren Updates zum Schließen der Sicherheitslücken anwenden. Für CVE-2025-6543 stellt Citrix ein eigenes Advisory mit Updates bereit, für die beiden weiteren Lücken zudem ein weiteres.

Bislang gab es lediglich Indizien für Angriffe auf die Netscaler-Sicherheitslücken. Jetzt wurden die Attacken auf die verwundbaren Systeme tatsächlich direkt beobachtet.

(dmk)