In Netscaler ADC und Gateway von Citrix wurde eine Sicherheitslücke entdeckt. Aktualisierte Software steht bereit, die die Cross-Site-Scripting-Lücke schließt. Admins sollten sie rasch installieren.

In einer Sicherheitsmitteilung informiert Citrix sehr sparsam über die Schwachstelle. In einer Tabelle gibt es nur stichwortartige Hinweise: Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), mit der Common Weakness Enumeration Standard-Nummer 79 (CWE-79): „Unzureichende Neutralisierung von Eingaben während der Webseitengenerierung“. Klassisch erlaubt XSS das Unterjubeln von Javascript-Code mittels Links, auf die potenzielle Opfer klicken müssen, damit der Code ausgeführt wird. Der kann dann jedoch etwa das Kopieren von Session-Cookies ermöglichen, womit Angreifer den Zugang übernehmen könnten (CVE-2025-12101, CVSS4 5.9, Risiko „mittel„).

Deutlich abweichender Schweregrad je nach CVSS-Version

Da die Netscaler als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP-Proxy oder als AAA Virtual Server konfiguriert sein müssen, nimmt Citrix für die Einordnung an, dass Vorbedingungen erfüllt sein müssen, damit Angreifer sie ausnutzen können. Das trägt jedoch dem Umstand nicht Rechnung, dass dies eine eher übliche Konfiguration ist, um damit Apps über das Internet bereitzustellen. Zudem rechnet Citrix mit ein, dass eine Benutzerinteraktion nötig ist, in diesem Fall das Klicken auf einen Link.

CVSS 4.0 kennt dafür die Schwachstellenvektoren-Bestandteile „AT:P“, ausgeschrieben als „Attack Requirements: Present“ (Attacken-Vorbedingungen: Vorhanden) sowie „UI:A“, „User Interaction: Active“ (Benutzerinteraktion: Aktiv). Die reduzieren das in CVSS 4.0 das rechnerische Risiko deutlich, in diesem Fall lässt sich jedoch insbesondere bei „AT:P“ darüber streiten, ob das in der Praxis zutrifft.

Das CERT-Bund nimmt seine Schweregrad-Einstufungen anhand von CVSS 3.1 vor. Darin gibt es diese Vektor-Bestandteile nicht. Damit kommt die BSI-Abteilung auf den Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X – was in einem CVSS-Wert von 8.8 mündet, Risiko „hoch“, und nur knapp an der Einstufung als kritische Sicherheitslücke vorbeischrammt. Das bestätigte das CERT-Bund heise online auf Nachfrage.

Die praktische Einstufung dürfte irgendwo zwischen den CVSS-Werten liegen, Admins sollten daher auf jeden Fall zeitnah aktiv werden und die Updates installieren. Die Versionen Netscaler ADC und Gateway 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.250 sowie Netscaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.333 sowie jeweils neuere Fassungen stopfen das Sicherheitsleck. Netscaler ADC und Gateway 13.0 und 12.1 sind am Ende des Lebenszyklus angelangt und erhalten keine Updates mehr.

Ende August waren noch zahlreiche Netscaler-Instanzen anfällig für die Citrix Bleed 3 genannte Sicherheitslücke. Global waren dort 28.000 Server verwundbar.

(dmk)

Es ist eine beeindruckende Zahl. 130 „Datenträger“ hat das Ausländeramt der Stadt Köln seit Anfang des Jahres eingezogen, teilt ein Sprecher der Stadt mit. In der Regel handelt es sich um Mobiltelefone von ausreisepflichtigen Menschen. Das Amt darf sie durchsuchen, um nach Hinweisen auf die Identität zu suchen, wenn Menschen sich nicht anderweitig ausweisen können.

Die Besonderheit in Köln: Die Behörde nimmt den Menschen ihre Datenträger nicht nur ab. Sie behält sie auch ein – „bis zur Ausreise“. Die Rechtsgrundlage dafür hatte die Ampelregierung im vergangenen Jahr geschaffen, als sie das Aufenthaltsgesetz verschärfte.

Kölner Amt auf ambitioniertem Alleingang

Eine Anfrage von netzpolitik.org bei anderen Städten und dem zuständigen Fluchtministerium in Nordrhein-Westfalen zeigt: Das Ausländeramt befindet sich mit seiner Praxis auf einem zwar rechtlich gedeckten, aber auffälligen Alleingang. Die Ausländerbehörde in Düsseldorf etwa zieht gar keine Datenträger ein, schreibt eine Sprecherin.

In Dortmund durchsuche die Behörde zwar Datenträger, gebe sie aber unmittelbar nach dem Auslesen der Daten wieder zurück. Die jährlichen Zahlen lägen hier „im höheren einstelligen Bereich“.

In Essen hat die Ausländerbehörde im laufenden Jahr bislang nur einen Datenträger eingezogen. Auch hier teilt die Behörde mit: „Nach der Auswertung des Datenträgers erhalten die betroffenen Personen ihre Datenträger wieder zurück.“

Ohne Handy geht heute fast nichts mehr

Warum nimmt ausgerechnet das Ausländeramt in Köln so vielen Menschen ihre Handys ab? Zum Vergleich: In ganz Nordrhein-Westfalen hatten Ausländerbehörden von Jahresbeginn bis Ende Juni nur 344 Datenträger eingezogen.

Und warum behält das Amt in Köln die Datenträger laut der Einzugsbescheinigung „bis zur Ausreise“? Auch im bundesweiten Vergleich ist Köln mit dieser Praxis offenbar alleine. Das Aufenthaltsgesetz erlaubt diese Durchsuchungen bereits seit 2015, sie sind in fast allen Bundesländern inzwischen Standard. Anfragen von netzpolitik.org zeigen jedoch: Weder in München noch in Berlin, Bremen oder Stuttgart behalten die Behörden eingezogene Geräte nach der Auswertung weiter ein.

In der Praxis bedeutet „bis zur Ausreise“: auf unbestimmte Zeit. Denn wie lange ein Abschiebeverfahren dauert, kann sich stark unterscheiden, sagt etwa der Jurist Davy Wang von der Gesellschaft für Freiheitsrechte. „In bestimmten Fällen ist eine Abschiebung faktisch gar nicht möglich, etwa weil Herkunftsstaaten eine Rücknahme verweigern oder gesundheitliche Gründe eine Abschiebung verhindern.“ Die Wirkung des Paragrafen komme damit faktisch einer Enteignung gleich.

Die Betroffenen müssen unterdessen ohne ihr wichtigstes Kommunikationsmittel auskommen und verlieren die wichtigste Verbindung zu ihren Familien. Hinzu kommt: Ohne Handy geht heutzutage auch darüber hinaus fast nichts mehr – vom Online-Banking bis zum Fahrkartenkauf.

Aus technischer Sicht ist die Verschärfung im Aufenthaltsrecht zudem unnötig. Die Behörden fertigen beim Auslesen ohnehin eine digitale Kopie der Daten auf den Geräten an, selbst Daten aus der Cloud dürfen sie dabei mitspeichern. Danach ist es nicht mehr notwendig, das Gerät selbst weiter einzubehalten. „In dieser Reichweite wäre die Norm eine reine Repressionsmaßnahme“, sagt auch der auf Migrationsrecht spezialisierte Rechtsanwalt Matthias Lehnert.

Bis zur Ausreise verwahrt

„Ausländerbehörden entscheiden in eigener Zuständigkeit“

Im zuständigen Ministerium für Familie, Flucht und Integration in NRW, geführt von der Grünen Josefine Paul, will man von einer Weisung, die Datenträger einzubehalten, nichts wissen. „Die Ausländerbehörden entscheiden in eigener Zuständigkeit, ob sie von dieser Möglichkeit Gebrauch machen“, schreibt eine Sprecherin. Es sei also nicht so, dass Datenträger im Land grundsätzlich bis zur Ausreise einbehalten würden.

Dass Mobiltelefone durchsucht und ausgewertet werden, stehe zudem erst als „Ultima Ratio“ am Ende einer Reihe von anderen Maßnahmen, betont die Sprecherin. Es gelte der Grundsatz der Verhältnismäßigkeit. Das Aufenthaltsgesetz erlaubt die Durchsuchung nur, wenn andere „mildere Mittel“ ausgeschöpft sind.

Erst durch einen Hinweis aufgefallen

Das Ausländeramt Köln kümmert sich als zentrale Anlaufstelle um die Belange von Ausländer*innen in der Stadt. Seit 2022 leitet die Juristin Christina Boeck die Behörde.

Dass das Amt die Datenträger nicht nur einzieht, sondern auch einbehält, ist erst durch den Hinweis einer betroffenen Geflüchteten an die Linken-Abgeordnete Clara Bünger aufgefallen. Bünger, die auch im Innenausschuss des Bundestags sitzt, hat daraufhin die Bundesregierung gefragt, wie das Einziehen der Handys mit dem Recht auf Privatsphäre vereinbar sei. Die Antwort war knapp: Der Vollzug des Aufenthaltsrechts sei Ländersache.

Doch zumindest lenkte sie die Aufmerksamkeit auf die neue Gesetzeslage. Auf Nachfrage von netzpolitik.org bestätigte ein Sprecher der Stadt Köln Anfang September, dass das Ausländeramt seit Jahresbeginn 130 Datenträger auf Grundlage der neuen Regelung eingezogen habe. Das Gesetz ist schon seit Februar 2024 in Kraft, aus dem Jahr davor gebe es jedoch keine Zahlen.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt der Sprecher. „Ist die freiwillige Mitwirkung nicht zielführend oder wird sie abgelehnt, wird die Person zur Herausgabe des Datenträgers aufgefordert. Wenn sie dieser Verpflichtung nicht nachkommt und tatsächliche Anhaltspunkte für den Besitz vorliegen, können die Person, die von ihr mitgeführten Sachen und die Wohnung durchsucht werden.“

Die betroffene Frau aus Köln hat ihr Smartphone nach unserer Berichterstattung über den Fall doch noch zurück bekommen – entgegen dem, was auf der Einzugsbescheinigung stand. Sie lebt derzeit mit einer monatlichen Duldung in Köln. An der Gesetzeslage ändert das allerdings nichts. Laut Aufenthaltsgesetz können Ausländerbehörden weiterhin selbst entscheiden, ob sie die eingezogenen Geräte wieder aushändigen oder „bis zur Ausreise“ verwahren.

In mehreren Produkten von Zohocorp ManageEngine sind teils kritische Schwachstellen entdeckt worden. Jetzt hat das Unternehmen Schwachstelleneinträge dazu veröffentlicht. Softwareupdates zum Schließen der Sicherheitslücken stehen bereit.

In Zohocorp ManageEngine Analytics Plus können Angreifer ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle missbrauchen, die auf eine unzureichende Filterkonfiguration zurückgeht. Damit könnten Angreifer etwa Konten übernehmen, schreibt der Hersteller. Betroffen sind Version 6170 und ältere (CVE-2025-8324, CVSS 9.8, Risiko „kritisch„). Analytics Plus on-premise Build 6171 aus dem August korrigiert den Fehler.

Im Application Manager bis einschließlich Version 178100 führt eine unzureichende Konfiguration in der „Programm ausführen“-Funktion dazu, dass Angreifer – allerdings nach vorheriger Anmeldung – Befehle einschleusen können (CVE-2025-9223, CVSS 8.8, Risiko „hoch„). Die Schwachstellenbeschreibung beim Hersteller verdeutlicht, dass eine Blacklist verbotener Befehle umgangen werden kann. In den Versionen 178001 bis 178009 sowie 178200 haben die Entwickler das korrigiert.

Weitere verwundbare Produkte

In Exchange Reporter Plus bis einschließlich Version 5723 klaffen gleich vier Sicherheitslücken vom Typ Stored-Cross-Site-Scripting. Laut Einschätzung der Entwickler können Angreifer etwa Konten mit erhöhten Rechten erstellen und darauf unbefugten Zugriff erlangen (CVE-2025-7429, CVE-2025-7430, CVE-2025-7432, CVE-2025-7433; alle CVSS 7.3, Risiko „hoch„). Fehlerkorrigierte Software steht bereits mit Build 5724 und neueren seit Ende Juli dieses Jahres zur Verfügung.

Eine weitere Sicherheitslücke findet sich in OpManager bis inklusive Version 128609 und weiteren Fassungen. In der SNMP-Trap-Verarbeitung können Angreifer eine Stored-Cross-Site-Scripting-Lücke missbrauchen (CVE-2025-9227, CVSS 6.5, Risiko „mittel„). Seit Ende August können Admins die Sicherheitslücke mit der Aktualisierung auf OpManager, OpManager Enterprise Edition, OpManager Plus, OpManager Plus Enterprise Edition und OpManager MSP 128610, 128598, 128543 sowie 128466 schließen. Angreifer könnten die Lücke ausnutzen, um den CSRF- und Session-Token vom Admin zu übernehmen und damit etwa eine Reverse Shell einrichten und beliebigen Code auf dem Server ausführen, erklärt der Hersteller.

Ende Mai hatte das Unternehmen hochriskante Sicherheitslücken in ManageEngine ADAudit Plus geschlossen.

(dmk)