Datenschutz & Sicherheit

Citrix Bleed 2: Kritische Netscaler-Lücke wird seit fast einem Monat ausgenutzt


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Sicherheitslücke mit dem Spitznamen „Citrix Bleed 2“ ist Angreifern offenbar schon länger bekannt als zunächst angenommen. Das hat ein Anbieter von Lösungen zur Angriffserkennung herausgefunden. Mittels historischer Daten, die sie mit den Signaturen des Exploits verglichen, fanden sie am 23. Juni 2025 einen Angriffsversuch auf einen ihrer Honeypots, also einen nur zum Schein verwundbaren Server.

Das ist fast genau eine Woche nach den durch Citrix veröffentlichten Patches für CVE-2025-6543 und CVE-2025-5777, den später von Sicherheitsforscher als „Citrix Bleed 2“ getauften kritischen Fehler. Das Sicherheitsunternehmen ReliaQuest hatte ebenfalls bereits Ende Juni gemutmaßt, es gebe einen aktiv ausgenutzten Exploit, fand jedoch nur Indizien und keine harten Beweise.

Wer hatte den ersten Exploit?

Diese Beweise sind nun da, schreibt Greynoise. Und offenbar handelt es sich nicht um ungerichtete Scans, sondern um gezielte Angriffsversuche, die einen als veralteter Netscaler verkleideten Honeypot angingen. Diese frühen Angriffsversuche kamen von IP-Adressen aus China, berichtet Greynoise.

Auch der Sicherheitsforscher Kevin Beaumont wies bereits vor einigen Tagen auf die frühen Versuche hin, die Lücke auszunutzen. Citrix hatte zu diesem Zeitpunkt noch abgestritten, dass „Citrix Bleed 2“ im Arsenal von Cyberkriminellen oder staatlichen Hackern gelandet sei. Spätestens am 10. Juli war es mit den Dementis hingegen vorbei: Da nahm die US-Cybersicherheitsbehörde CISA die Lücke in ihren „Known Exploited Vulnerabilities Catalog“ auf. Einen Tag später berichtete Imperva, ein weiteres Unternehmen aus dem Bereich der „Threat Intelligence“, von über 11,5 Millionen Angriffsversuchen, überwiegend auf Ziele in den USA, Spanien und Japan.

Noch fast 4.000 Netscaler angreifbar

Mittlerweile ist das Angriffsvolumen stabil. Das Shadowserver-Projekt verzeichnete am zwischen dem 14. und 16. Juli täglich etwa 3000 Angriffsversuche auf dreißig bis vierzig Ziele, Greynoise hat im Tagesverlauf des 17. Juli lediglich drei Angreifer-IPs verzeichnet. Die Anzahl verwundbarer Geräte machte jedoch Mitte Juli einen überraschend großen Sprung und steht den Shadowserver-Statistiken zufolge nun bei über 4.500. Admins von Netscaler-Installationen sollten also tunlichst ihre Geräte überprüfen und schnellstmöglich aktualisieren.



Deutlicher Sprung: Mitte Juli 2025 sind mehrere Tausend ungepatchte Netscaler-Geräte von der Sicherheitslücke „Citrix Bleed 2“ betroffen.

(Bild: The Shadowserver Foundation)

Kevin Beaumont stellt auf Github eine Liste mit über 25.000 aus dem Internet erreichbaren Netscaler-Instanzen bereit, von denen am Vormittag des 18. Juli noch 3.829 verwundbar waren. Knapp fünfhundert dieser angreifbaren Netscaler melden sich mit einer Domain, die mit der deutschen Landeskennung „.de“ endet.

Scheibchenweise neue Informationen

Und Citrix? Die hatten immerhin Patches veröffentlicht, sich aber ansonsten einer Salami-Taktik bedient und wichtige Informationen zur Schwere der Lücke und ihrer Behandlung ausgelassen. Sicherheitsforscher Beaumont hielt mit seiner Kritik am seiner Ansicht nach zu zögerlichen Vorgehen von Citrix dann auch nicht hinterm Berg. Er kritisiert in einem Blogbeitrag, dass ausgerechnet die Netscaler-eigene Web Application Firewall (WAF) Angriffsversuche nicht abfangen könne, die anderer Hersteller hingegen schon. Citrix versteigt sich in den „Frequently Asked Questions“ zu Citrix Bleed 2 zudem gar zu der Aussage, WAFs könnten den Angriff überhaupt nicht verhindern – angesichts der Tatsache, dass der Exploit mittels mehrerer HTTP-Anfragen funktioniert, ein gewagtes Statement.

Auch an weiteren Hinweisen für Citrix-Administratoren lässt Beaumont kein gutes Haar. Aufräum-Systemkommandos zum Löschen der von Angreifern kontrollierten Verbindungen seien unvollständig, weil sie Sitzungsdaten nicht aufräumten, so der Sicherheitsforscher.

Gegenüber heise security ordnete Beaumont die Reaktion von Citrix als nicht akzeptabel ein. „Sie haben Informationen über Angriffsaktivitäten und Hinweise zur Betroffenheitsprüfung viel zu spät abgeliefert“, so Beaumont.

Hinter dem Spitznamen „Citrix Bleed 2“ verbirgt sich ein Fehler in der Speicherverwaltung der Netscaler-Geräte, den Angreifer über das Web aus der Ferne ausnutzen können. Stellen sie eine HTTP-Anfrage mit einem bestimmten, fehlerhaften Parameter, antwortet das Gerät mit einigen Bytes seines Hauptspeichers, es „blutet Speicher aus“. Diese Speicherauszüge können nutzlose Daten, aber auch Session- und andere sensible Informationen enthalten.


(cku)



Source link

Verwandte Themen:

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beliebt

Die mobile Version verlassen