Cybersecurity-Experten haben eine neue Serie kritischer Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway identifiziert, die bereits als Citrix Bleed 2 bezeichnet wird. Diese Bedrohung erinnert stark an die verheerenden Angriffe von 2023 und stellt eine erhebliche Gefahr für Unternehmensinfrastrukturen dar. Mit über 56.500 exponierten Endpunkten weltweit könnte die Auswirkung dieser Vulnerabilitäten weitreichende Folgen haben.
Technische Analyse der Schwachstellen CVE-2025-5777 und CVE-2025-5349
Citrix hat in einem Notfall-Security-Bulletin zwei kritische Sicherheitslücken dokumentiert, die sofortige Aufmerksamkeit erfordern. Die Hauptbedrohung CVE-2025-5777 manifestiert sich als Out-of-Bounds-Reading-Vulnerability, die es Angreifern ermöglicht, auf geschützte Speicherbereiche zuzugreifen und sensible Systemdaten zu extrahieren.
Die Schwachstelle betrifft spezifisch folgende NetScaler-Versionen:
• Alle Versionen vor 14.1-43.56
• Releases vor 13.1-58.32
• FIPS-zertifizierte Builds 13.1-37.235-FIPS/NDcPP und 12.1-55.328-FIPS
Die zweite Vulnerability CVE-2025-5349 betrifft die Zugriffskontrolle im NetScaler Management Interface. Diese Schwachstelle kann von Angreifern ausgenutzt werden, die bereits Zugang zu den Management-IP-Adressen des Systems erlangt haben, was eine Privilege-Escalation ermöglicht.
Bedrohungslandschaft und potenzielle Auswirkungen
Aktuelle Analysen zeigen, dass mehr als 56.500 NetScaler-Endpunkte im Internet exponiert sind, wobei die genaue Anzahl verwundbarer Systeme noch unbekannt ist. Diese Zahlen verdeutlichen das massive Schadenspotenzial, sollten diese Vulnerabilitäten aktiv ausgenutzt werden.
Besonders besorgniserregend ist die Möglichkeit des Session-Token-Diebstahls und der Kompromittierung von Benutzerauthentifizierung. Cyberkriminelle können durch Ausnutzung dieser Schwachstellen Multi-Faktor-Authentifizierung umgehen und sich unbefugten Zugang zu kritischen Unternehmensdaten verschaffen. Diese Charakteristika machen Citrix Bleed 2 zu einem attraktiven Ziel für sowohl Ransomware-Gruppen als auch staatlich gesponserte Hackerorganisationen.
Parallelen zur ursprünglichen Citrix Bleed-Kampagne
Die neue Bedrohung weist frappante Ähnlichkeiten mit der berüchtigten CVE-2023-4966 auf, die als ursprüngliche Citrix Bleed bekannt wurde. Jene Schwachstelle wurde intensiv von verschiedenen Bedrohungsakteuren ausgenutzt, einschließlich Ransomware-Operatoren und Advanced Persistent Threat-Gruppen.
Analog zur vorherigen Kampagne sind primär NetScaler-Geräte betroffen, die als Gateway-Systeme konfiguriert sind: VPN-Virtual-Server, ICA Proxy-Dienste, Clientless VPN-Implementierungen, RDP Proxy-Konfigurationen und AAA-Virtual-Server.
Sofortige Gegenmaßnahmen und Patch-Strategie
Organisationen müssen unverzüglich ihre NetScaler-Systeme aktualisieren, um sich vor diesen kritischen Bedrohungen zu schützen. Die erforderlichen Patch-Versionen sind:
• NetScaler ADC und Gateway auf Version 14.1-43.56 oder höher
• Upgrade auf 13.1-58.32 oder neuere Releases
• Spezielle FIPS-Builds: 13.1-NDcPP 13.1-37.235 und 12.1-55.328
Erweiterte Sicherheitsmaßnahmen nach dem Patching
Nach der Implementierung der Sicherheitsupdates empfiehlt Citrix die Beendigung aller aktiven ICA- und PCoIP-Sessions. Administratoren sollten zuvor bestehende Verbindungen auf verdächtige Aktivitäten analysieren, indem sie die show icaconnection-Kommandos verwenden und das NetScaler Gateway Interface für PCoIP-Session-Monitoring nutzen.
Obwohl Citrix bislang keine aktive Ausnutzung dieser Vulnerabilitäten in freier Wildbahn bestätigt hat, demonstriert die Geschichte der ursprünglichen Citrix Bleed die katastrophalen Folgen verzögerter Patch-Implementierung. Unternehmen sollten diese Updates als geschäftskritisch einstufen und die Implementierung mit höchster Priorität vorantreiben, um ihre digitale Infrastruktur vor potenziellen Cyberangriffen zu schützen und Compliance-Anforderungen zu erfüllen.