Cybersecurity-Experten von ReliaQuest haben eine kritische Sicherheitslücke in Citrix NetScaler ADC und Gateway identifiziert, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2025-5777 katalogisierte Schwachstelle, auch bekannt als „Citrix Bleed 2“, stellt eine ernsthafte Bedrohung für Unternehmensnetzwerke weltweit dar.
Was ist Citrix Bleed 2 und wie funktioniert die Schwachstelle?
Die Bezeichnung Citrix Bleed 2 wurde vom renommierten Sicherheitsforscher Kevin Beaumont geprägt, der die Ähnlichkeit zur berüchtigten CVE-2023-4966 erkannte. Bei CVE-2025-5777 handelt es sich um eine Out-of-bounds Reading-Schwachstelle, die es Angreifern ermöglicht, auf Speicherbereiche außerhalb der vorgesehenen Puffergrenzen zuzugreifen.
Diese technische Schwachstelle erlaubt es nicht authentifizierten Angreifern, sensible Daten abzugreifen, darunter Sitzungscookies und Authentifizierungstokens. Besonders problematisch ist, dass die Exploitation remote und ohne vorherige Anmeldung erfolgen kann.
Betroffene Systeme und Konfigurationen
Die Sicherheitslücke betrifft NetScaler-Geräte, die als Gateway-Systeme mit folgenden Konfigurationen eingesetzt werden:
• VPN-Virtuelle Server
• ICA Proxy-Dienste
• Clientless VPN (CVPN)
• RDP Proxy-Konfigurationen
• AAA-Virtuelle Server
Angriffsmethoden und Sicherheitsrisiken
Die Ausnutzung von CVE-2025-5777 ermöglicht Cyberkriminellen den unbefugten Zugriff auf hochsensible Unternehmensdaten. Angreifer können Sitzungstokens, Benutzeranmeldedaten und andere vertrauliche Informationen von öffentlich zugänglichen Gateways und virtuellen Servern abfangen.
Ein besonders beunruhigender Aspekt ist die Möglichkeit, die Multifaktor-Authentifizierung zu umgehen. Nach der Kompromittierung von Sitzungstokens können sich Angreifer als legitime Benutzer ausgeben und vollständigen Zugang zu Unternehmensressourcen erlangen, ohne Passwörter zu kennen oder zusätzliche Sicherheitsprüfungen durchlaufen zu müssen.
Nachweis aktiver Angriffe
ReliaQuest-Forscher berichten von einem deutlichen Anstieg verdächtiger Sitzungsaktivitäten auf Citrix-Geräten in den vergangenen Wochen. Obwohl noch keine umfassenden Berichte über Massenangriffe vorliegen, schätzen Experten die Wahrscheinlichkeit als mittel bis hoch ein, dass die Schwachstelle bereits für initiale Kompromittierungen von Unternehmensnetzwerken genutzt wird.
Diese Entwicklung erinnert stark an die ursprüngliche Citrix Bleed-Schwachstelle, die später von Ransomware-Gruppen und staatlich unterstützten Hackerkollektiven für groß angelegte Cyberangriffe verwendet wurde.
Sofortmaßnahmen und Sicherheitsupdates
Citrix hat umgehend Sicherheitspatches zur Verfügung gestellt. IT-Administratoren sollten ihre Systeme unverzüglich auf folgende Versionen aktualisieren:
• NetScaler ADC und Gateway Version 14.1-43.56 oder höher
• NetScaler ADC und Gateway Version 13.1-58.32 oder höher
• NetScaler ADC und Gateway FIPS/NDcPP Version 13.1-37.235 oder höher
Zusätzliche Schutzmaßnahmen
Nach der Installation der Updates ist es kritisch wichtig, alle aktiven ICA- und PCoIP-Sitzungen zu beenden. Diese Maßnahme verhindert, dass Angreifer bereits kompromittierte Sitzungen zur Fortsetzung ihrer Aktivitäten nutzen können.
Die Entdeckung von Citrix Bleed 2 unterstreicht die Notwendigkeit eines proaktiven Cybersecurity-Ansatzes. Unternehmen sollten regelmäßige Sicherheitsupdates implementieren, kontinuierliches Monitoring betreiben und mehrschichtige Verteidigungsstrategien etablieren. Nur durch eine umfassende Sicherheitsarchitektur lassen sich moderne Cyberbedrohungen effektiv abwehren.
