In den Citrix-Produkten „Netscaler ADC“ (Application Delivery Controller) und „Gateway“ behob der Hersteller „Cloud Software Group“ zwei Sicherheitslücken, eine davon mit kritischer Einstufung. Die Fehler waren bei einer internen Überprüfung aufgefallen, Updates sind bereits erschienen. Citrix-Kunden sollten zügig prüfen, ob sie betroffen sind und ihre Appliances aktualisieren.

Die beiden Sicherheitslücken im Einzelnen:

• CVE-2026-3055: Ungenügende Eingabevalidierung führt zu überlangem Speicher-Lesezugriff (CVSS v4 9.3/10, kritisch)
• CVE-2026-4368: Eine Wettlaufsituation (Race Condition) kann zur Vertauschung von Nutzersitzungen führen (CVSS v4 7.7/10, hoch)

Droht CitrixBleed 3?

Details muss der geneigte Leser des Citrix-Sicherheitshinweises mit der Lupe suchen, doch gemahnen einige Details an die fatale Sicherheitslücke CitrixBleed 2 aus dem Jahr 2025. Auch diese bestand aus einem Speicherleck, das Angreifer aus der Ferne nutzen konnten, um Zugangstokens abzugreifen. In Verbindung mit der nun zusätzlich gemeldeten Race Condition könnten sie diese gezielt nutzen, um bestimmte Nutzerkonten zu übernehmen.

Admins sollten zügig auf die aktualisierten Versionen updaten:

• NetScaler ADC und NetScaler Gateway 14.1-66.59 oder neuer,
• NetScaler ADC und NetScaler Gateway 13.1-62.23 oder neuere Releases aus dem Versionsbaum 13.1,
• Für FIPS-zertifizierte Instanzen sind die Fehler in NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.262 sowie neueren Versionen von 13.1-FIPS und 13.1-NDcPP behoben.

(cku)

Nutzen Angreifer eine „kritische“ Sicherheitslücke im Authentifizierungs- und Zugriffskontroll-Framework VMware Tanzu Spring Security aus, können sie auf eigentlich geschützte Daten zugreifen. Weitere Softwareschwachstellen gefährden Spring Boot und Framework. Bislang gibt es keine Berichte zu Attacken. Sicherheitsupdates schaffen Abhilfe.

Instanzen vor möglichen Angriffen schützen

Wie aus einer Warnmeldung hervorgeht, sind von der „kritischen“ Lücke (CVE-2026-22732) in Spring Security auch nicht mehr im Support befindliche Versionen bedroht. Im Umgang mit HTTP-Headern kann es zu Fehlern kommen, sodass Angreifer unrechtmäßig auf sensible Daten zugreifen können. Dagegen sind den Entwicklern zufolge die Ausgaben 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9 und 7.0.4 geschützt.

Im Kontext von Spring Boot können Angreifer unter anderem die Authentifizierung umgehen (etwa CVE-2026-22731 „hoch“). An dieser Stelle sind die Versionen 2.7.32, 3.3.18, 3.4.15, 3.5.12 und 4.0.4 repariert. Nach Attacken auf Spring Framework können Informationen leaken (CVE-2026-22737 „mittel“). Die Schwachstelle ist in den Ausgaben 5.3.47, 6.1.26, 6.2.17 und 7.0.6 geschlossen.

(des)

Die schwere Sicherheitslücke in den Produkten Windchill und FlexPLM rief am Wochenende die Polizei in ganz Deutschland auf den Plan. Auf Veranlassung des Bundeskriminalamts (BKA) rückten bundesweit Polizisten aus, um betroffene Unternehmen zu alarmieren – ein nie dagewesener Vorgang. Die derart um ihr Wochenende gebrachten Admins zeigten sich irritiert – einige nutzen die gefährdete Software nicht einmal.

Als die Redaktion am späten Sonntagvormittag einen Hinweis erhielt, es gebe eine kritische Sicherheitslücke in Windchill und FlexPLM, klang das nach einer Routinemeldung: Eine Deserialisierungslücke in Spezialsoftware, obgleich mit CVSS-Höchstwertung von 10 versehen, erzeugt bei heise security keine hektischen Flecken. Ganz anders offenbar beim BKA: Das hatte zu diesem Zeitpunkt bereits die Landeskriminalämter (LKA) in verschiedenen Bundesländern alarmiert, welche nächtens Polizisten zu betroffenen Unternehmen schickten. Wie uns mehrere Leser im Forum meldeten, standen zu nachtschlafender Zeit Polizisten vor Firmen- und Privaträumen.

Morgens, halb vier in Deutschland

Ihre ungewöhnliche Mission: Die Beamten übergaben verschlafenen Admins eine Kopie des Schreibens, das Hersteller PTC bereits am Vortag an alle Kunden versandt hatte und das die Anleitung zu einem Hotfix enthält. Ein Betroffener berichtet: „Die Polizei stand auch bei uns nachts um halb 4 vor der Tür. Ein Produktionsmitarbeiter hat dann den Geschäftsführer informiert, der mich bzw. einen Kollegen informiert hat.“ Er wundert sich über die Dringlichkeit der Aktion: „Unsere Server sind nur intern erreichbar und können nicht ins WAN kommunizieren. Die Anzahl der zugriffsberechtigten Clients ist auch stark eingeschränkt (anderes VLAN).“

Ein anderer Leser erhielt gegen 2:45 Uhr am Sonntagmorgen einen Anruf, den er als Witz auffasste – bis die Polizei kurz darauf an der Haustür klingelte. Und das obendrein vergebens: Zwar nutze sein Unternehmen PTC-Produkte, doch nicht die von der Sicherheitslücke betroffenen.

Auf unsere Nachfrage bestätigen mehrere Landeskriminalämter das Vorgehen. In einer Stellungnahme schreibt das LKA Thüringen: „Das Bundeskriminalamt übermittelte an das LKA Thüringen eine Liste mit betroffenen Unternehmen mit Sitz in Thüringen. Die Zentrale Ansprechstelle Cybercrime (ZAC) Thüringen veranlasste daraufhin die persönliche Kontaktaufnahme und versuchte bei Nichtantreffen, den Kontakt telefonisch herzustellen. Ziel war eine möglichst schnelle Sensibilisierung und Einleitung von Schutzmaßnahmen. Die erreichten Unternehmen waren bereits durch die Firma PTC Inc. informiert worden und haben Sicherungsmaßnahmen ergriffen.“

BKA, PTC, BSI – MfG

Das koordinierte und extrem personalaufwändige Vorgehen – unter der Hand ist von über tausend betroffenen Kunden in Deutschland die Rede – ist sehr ungewöhnlich und in Deutschland bislang einzigartig. Zumal weder die in Deutschland für IT-Sicherheit zuständige Bundesbehörde, das BSI, noch ihr US-Pendant CISA (Cybersecurity & Infrastructure Security Agency) bislang sonderlich lautstark warnen. Das BSI veröffentlichte am Montagmittag einen Hinweis im Warn- und Informationsdienst, die CISA schweigt sich aus. In ihrer „Known Exploited Vulnerabilities“-Liste ist der jüngste Eintrag vom 20. März und betrifft Apple-Produkte.

Wir haben das BKA, das BSI und Hersteller PTC um eine Stellungnahme zu diesem sehr ungewöhnlichen Vorgehen gebeten. Während PTC und BKA am frühen Montagnachmittag noch nicht geantwortet hatten, äußerte sich das BSI zurückhaltend. Ein Sprecher teilte uns mit, zu den Bewertungskriterien für Sicherheitslücken „gehören insbesondere die Charakteristika der Schwachstelle selbst, allerdings auch die Verbreitung des Produkts und weitere – ggf. entschärfende – Rahmenbedingungen. Ein entscheidender Punkt ist die Information der Anwenderinnen und Anwender durch den Hersteller selbst. Nach Kenntnis des BSI ist die Information des Herstellers an alle Kundinnen und Kunden erfolgt.“ Zudem habe das BSI KRITIS-Betreiber separat informiert, sagte der Amtssprecher weiter: „Hierin liegt ein Vorteil der Registrierung im BSI auch im Rahmen von NIS2.“

Schrödingers IoC

Irritierend ist auch PTCs offizieller Standpunkt, man habe derzeit „keinen Beweis für eine bestätigte Ausnutzung, die PTC-Kunden betrifft“. Denn: Wenige Zeilen unter diesem offenbar zur Kundenberuhigung gedachten Satz nennt PTC sehr konkrete Indicators of Compromise (IoC), darunter die Anwesenheit einer bestimmten Klassendatei (GW.class) auf angegriffenen Systemen. Sei diese Datei auf einem Windchill-Server anzutreffen, weise dies darauf hin, „dass der Angreifer das System erfolgreich waffenfähig gemacht hat, bevor er eine Remote Code Execution (RCE) ausführte“. Schrödingers IoC: Zwar existiert ein Angreifer und es existiert Schadcode auf Zielsystemen – erfolgreiche Angriffe gab es aber nach eigener Aussage nicht.

Auch zu dieser Diskrepanz haben wir PTC um eine Stellungnahme gebeten. Bis zum frühen Montagnachmittag hatte der Hersteller zudem noch keine Patches für die Sicherheitslücke veröffentlicht, auch eine CVE-ID sucht man in den üblichen Datenbanken noch immer vergebens. Diese ist jedoch notwendig, um die Aufnahme in strukturierte Listen, etwa in den CTI-Feeds (Cyber Threat Intelligence) sicherzustellen.

(cku)