Citrix Netscaler ADC und Gateway: Update schließt Cross-Site-Scripting-Lücke

In Netscaler ADC und Gateway von Citrix wurde eine Sicherheitslücke entdeckt. Aktualisierte Software steht bereit, die die Cross-Site-Scripting-Lücke schließt. Admins sollten sie rasch installieren.

In einer Sicherheitsmitteilung informiert Citrix sehr sparsam über die Schwachstelle. In einer Tabelle gibt es nur stichwortartige Hinweise: Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), mit der Common Weakness Enumeration Standard-Nummer 79 (CWE-79): „Unzureichende Neutralisierung von Eingaben während der Webseitengenerierung“. Klassisch erlaubt XSS das Unterjubeln von Javascript-Code mittels Links, auf die potenzielle Opfer klicken müssen, damit der Code ausgeführt wird. Der kann dann jedoch etwa das Kopieren von Session-Cookies ermöglichen, womit Angreifer den Zugang übernehmen könnten (CVE-2025-12101, CVSS4 5.9, Risiko „mittel„).

Deutlich abweichender Schweregrad je nach CVSS-Version

Da die Netscaler als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP-Proxy oder als AAA Virtual Server konfiguriert sein müssen, nimmt Citrix für die Einordnung an, dass Vorbedingungen erfüllt sein müssen, damit Angreifer sie ausnutzen können. Das trägt jedoch dem Umstand nicht Rechnung, dass dies eine eher übliche Konfiguration ist, um damit Apps über das Internet bereitzustellen. Zudem rechnet Citrix mit ein, dass eine Benutzerinteraktion nötig ist, in diesem Fall das Klicken auf einen Link.

CVSS 4.0 kennt dafür die Schwachstellenvektoren-Bestandteile „AT:P“, ausgeschrieben als „Attack Requirements: Present“ (Attacken-Vorbedingungen: Vorhanden) sowie „UI:A“, „User Interaction: Active“ (Benutzerinteraktion: Aktiv). Die reduzieren das in CVSS 4.0 das rechnerische Risiko deutlich, in diesem Fall lässt sich jedoch insbesondere bei „AT:P“ darüber streiten, ob das in der Praxis zutrifft.

Das CERT-Bund nimmt seine Schweregrad-Einstufungen anhand von CVSS 3.1 vor. Darin gibt es diese Vektor-Bestandteile nicht. Damit kommt die BSI-Abteilung auf den Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X – was in einem CVSS-Wert von 8.8 mündet, Risiko „hoch“, und nur knapp an der Einstufung als kritische Sicherheitslücke vorbeischrammt. Das bestätigte das CERT-Bund heise online auf Nachfrage.

Die praktische Einstufung dürfte irgendwo zwischen den CVSS-Werten liegen, Admins sollten daher auf jeden Fall zeitnah aktiv werden und die Updates installieren. Die Versionen Netscaler ADC und Gateway 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.250 sowie Netscaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.333 sowie jeweils neuere Fassungen stopfen das Sicherheitsleck. Netscaler ADC und Gateway 13.0 und 12.1 sind am Ende des Lebenszyklus angelangt und erhalten keine Updates mehr.

Ende August waren noch zahlreiche Netscaler-Instanzen anfällig für die Citrix Bleed 3 genannte Sicherheitslücke. Global waren dort 28.000 Server verwundbar.

(dmk)