„CitrixBleed 2“: Indizien für laufende Angriffe auf Sicherheitsleck

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel „CitrixBleed 2“ verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: „Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen“. Bei der „CitrixBleed 2“-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko „kritisch„).

Beobachteter Missbrauch

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des „ADExplorer64.exe“-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche „CitrixBleed“, bei dem HTTP-GET-Anfragen an den API- Endpunkt „/oauth/idp/.well-known/openid-configuration HTTP/1.1“ gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Vergangene Woche hatte Citrix die Schwachstellenbeschreibung der Sicherheitslücke CVE-2025-5777 / EUVD-2025-18497 angepasst. Sie hat seitdem einen ähnlichen Wortlaut wie die für die ursprüngliche „CitrixBleed“-Sicherheitslücke CVE-2023-4966 / EUVD-2023-54802, die 2023 massiv von Cyberkriminellen attackiert wurde.

(dmk)