Neue Sicherheitslücke in Citrix-Gateways entdeckt. Eine kritische Schwachstelle (CVE-2025-5777) bedroht erneut Citrix-Systeme weltweit. Sicherheitsforscher warnen vor aktiver Ausnutzung durch Angreifer und vergeben bereits den Namen „CitrixBleed 2“.
Die ursprüngliche „CitrixBleed“-Schwachstelle (CVE-2023-4966) wurde 2023 entdeckt und betraf Citrix NetScaler ADC und Gateway-Systeme. Sie ermöglichte es Angreifern, durch einfache HTTP-Anfragen auf Speicherbereiche zuzugreifen und sensible Informationen wie Session-Tokens auszulesen – ein sogenannter Memory Overread. Besonders kritisch war, dass die Lücke ohne Authentifizierung ausgenutzt werden konnte. Die Schwachstelle wurde aktiv von Bedrohungsakteuren ausgenutzt, darunter auch Ransomware-Gruppen, die über gestohlene Sitzungsdaten in Netzwerke eindrangen.
Neue CitrixBleed-Schwachstelle wieder kritisch
Die neue Schwachstelle, von Sicherheitsforscher Kevin Beaumont als „CitrixBleed 2“ bezeichnet, betrifft NetScaler-Gateways und -ADC-Systeme in bestimmten Versionen und ermöglicht durch unzureichende Eingabevalidierung einen Memory Overread, bei dem sensible Daten wie Session-Tokens ausgelesen werden können. Die Lücke weist einen CVSS-Score von 9.3 auf und gilt damit als kritisch. Besonders gefährdet sind Systeme, die als VPN-Gateway, ICA Proxy oder AAA-Server konfiguriert sind.
Laut der Seite DoublePulsar von Kevin Beaumont erinnert die Schwachstelle stark an die ursprüngliche CitrixBleed-Lücke, die bereits 2023 für Aufsehen sorgte. Die neue Variante erlaubt es Angreifern erneut, mit einfachen HTTP-Anfragen Speicherbereiche auszulesen – ein potenzieller Einstiegspunkt für weiterführende Angriffe.
Alte und neue Patches stehen bereit
Für beide Schwachstellen – CVE-2023-4966 („CitrixBleed“) und CVE-2025-5777 („CitrixBleed 2“) – stehen offizielle Patches von Citrix bereit:
Für CVE-2023-4966 wurden bereits im Oktober 2023 Sicherheitsupdates veröffentlicht. Geschützte Versionen sind u. a.:
-
- NetScaler ADC/Gateway 14.1 ab Version 14.1-8.50
- 13.1 ab 13.1-49.15
- 13.0 ab 13.0-92.19
- FIPS- und NDcPP-Builds ab entsprechenden Versionen.
Für CVE-2025-5777 („CitrixBleed 2“) sind ebenfalls aktuelle Updates verfügbar:
-
- NetScaler ADC/Gateway 14.1 ab Version 14.1-43.56
- 13.1 ab 13.1-58.32
- Auch für FIPS-Varianten gibt es entsprechende Builds
Wichtig: Nach dem Patchen sollten außerdem alle aktiven Sitzungen beendet werden, um gestohlene Session-Tokens unbrauchbar zu machen – ein entscheidender Schritt, um Missbrauch zu verhindern.
Mehr bei DoublePulsar.com