Citrix Bleed 3? Angreifer nutzen neue schwere Sicherheitslücken bereits aus

Fast auf den Tag genau zwei Monate nach Bekanntwerden des Sicherheitsfehlers „Citrix Bleed 2“ droht erneut Ungemach für Verwender von Appliances des Typs NetScaler ADC und Gateway. Der Hersteller meldet gleich drei Probleme, eins davon kritisch. Admins sollten prüfen, ob ihre Geräte betroffen sind – Citrix hat dazu Handreichungen veröffentlicht.

Verwundbare Software

Die betroffenen Firmware-Versionen unterscheiden sich dabei nicht, es handelt sich nach Citrix-Angaben jeweils um:

• NetScaler ADC und NetScaler Gateway 14.1 vor Version 14.1-47.48,
• NetScaler ADC und NetScaler Gateway 13.1 vor Version 13.1-59.22,
• NDcPP- und FIPS-zertifizierte Versionen NetScaler ADC „13.1-FIPS and NDcPP“ vor Versionsnummer „13.1-37.241-FIPS and NDcPP“ sowie
• NDcPP- und FIPS-zertifizierte Versionen NetScaler ADC „12.1-FIPS and NDcPP“ vor „12.1-55.330-FIPS and NDcPP“

Alle drei Lücken sind jedoch nicht in den Standardeinstellungen ausnutzbar, sondern unter bestimmten Bedingungen. Beim schwersten der drei Sicherheitsfehler, einem Speicherüberlauf mit anschließender Möglichkeit, Code einzuschleusen (CVE-2025-7775, CVSS4 9.2/10, Schweregrad kritisch), muss eine von vier Vorbedingungen gegeben sein, wie Citrix im Advisory weiter ausführt:

• NetScaler muss als Gateway konfiguriert sein – das dürfte für eine große Mehrzahl der Geräte zutreffen,
• oder die NDcPP-/FIPS-zertifizierte Version muss Loadbalancing-Dienste für HTTP/QUIC in IPv6 anbieten,
• oder NetScaler ist als virtueller CR-Server (Cache Redirection) vom Typ HDX konfiguriert.

Doch auch die zwei weniger kritischen Lücken tragen hohes Schadenspotential in sich. CVE-2025-7776 (CVSS 8.8, Schweregrad hoch) kann das Gerät destabilisieren, setzt aber eine Konfiguration als Gateway mit einem PCoIP-Profil (PC over Internet Protocol) voraus. CVE-2025-8424 (CVSS4 8,7/10, Schweregrad „hoch„) hingegen verschafft Angreifern Zugriff auf geschützte Dateien. Dafür benötigen sie jedoch Zugriff auf das Management-Interface der Appliance, das Citrix-Angaben zufolge meist mit Zugriffslisten (ACLs) oder einer externen Authentisierungslösung geschützt sei.

Updates verfügbar

Admins sollten nun zügig prüfen, ob ihre Geräte betroffen sind. Das gelingt, indem sie die Konfigurationsdatei „ns.conf“ auf die notwendigen Vorbedingungen abklopfen – Citrix verrät in einem Support-Artikel, wie das geht.

Die folgenden Firmware-Versionen sind abgedichtet:

• NetScaler ADC / NetScaler Gateway 14.1-47.48 und später,
• NetScaler ADC / NetScaler Gateway 13.1-59.22 und neuere Versionen des Baums 13.1,
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und neuere Versionen von 13.1-FIPS und 13.1-NDcPP sowie
• NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und neuere Ausgaben der Versionen 12.1-FIPS und 12.1-NDcPP.

Aktive Angriffe – droht Citrix Bleed 3?

Citrix gibt an, dass die kritische Lücke CVE-2025-7775 bereits aktiven Angriffen ausgesetzt sei. Die US-Cybersicherheitsbehörde CISA warnte auch am späten Abend des 26.08. in ihrer „Known Exploited Vulnerabilities“-Liste (KEV) vor Angriffsversuchen.

Es empfiehlt sich also, Updates baldmöglichst einzuspielen – die letzte Citrix-Lücke war unangenehm eskaliert und wird noch immer ausgenutzt. Sie trug den Spitznamen „Citrix Bleed 2“ und die CVE-ID CVE-2025-5777. Die neue kritische Sicherheitslücke dreht diesen Zahlencode nun um, aus 5777 wird 7775 – ein interessanter Zufall.

Wachsamkeit ist allemal geboten, denn derlei Fehler tragen stets das Potenzial der massenhaften Ausnutzung durch Cyberkriminelle wie etwa Ransomware-Banden. Ob ein „Citrix Bleed 3“ droht, bleibt dennoch abzuwarten.

(cku)