Citrix Bleed 2 – Kritische Lücke in NetScaler angesagt
Hintergrund & Entdeckung
Am 17. Juni 2025 veröffentlichte Citrix ein Sicherheitsupdate für das als „Citrix Bleed 2“ bekannte Problem (CVE‑2025‑5777) in NetScaler ADC/Gateway. Diese Schwachstelle ermöglicht eine Out-of-Bounds-Speicherlese (Memory Over-read) durch manipulierte
HTTP-Anfragen an doAuthentication.do, wodurch Angreifer Session-Tokens und sensiblen Speicherinhalt abgreifen können.
Aktuelle Bedrohungslage
Sicherheitsforscher von ReliaQuest sehen mit mittelhoher Sicherheit erste aktive Exploits in der Wildnis – inklusive erfolgreicher MFA-Umgehung und Session-Hijacking. Public-Proof-of-Concept-Exploits sind bereits veröffentlicht worden; BleepingComputer fordert daher: „Patch now!“
Risiken im Überblick
- Session Hijacking: Angreifer übernehmen legitime Benutzersitzungen, inklusive Admin- und 2FA-Sitzungen.
- Netzwerkzugriff: Session-Tokens lassen sich erneut verwenden, auch von anderen IP-Adressen aus.
- Post-Exploitation: Anzeichen von Active-Directory-Erkundungen und weiteren Aktivitäten nach erfolgreichem Einstieg.
Empfohlene Maßnahmen
- Jetzt patchen: Installieren Sie die Citrix-Patches vom 17. Juni 2025 (z. B. 14.1‑47.46+, 13.1‑59.19+).
- Session bereinigen: Nach dem Patch alle aktiven ICA/PCoIP-Sessions mit
kill icaconnection -allundkill pcoipconnection -allbeenden. - Netzwerksegmentierung: Externen Zugriff nur über kontrollierte ACLs und Firewalls zulassen.
- Monitoring verstärken: Auf unnatürlich lange Sessions, Sessions von mehreren IPs und verdächtige LDAP-Anfragen achten.
- Session-Tokens rotieren: Authentifizierungs- und API-Tokens sowie Admin-Passwörter nach dem Update neu ausgeben.
Warum schnell handeln?
Ähnlich dem ursprünglichen Citrix Bleed (Oktober 2023, CVE‑2023‑4966), der für Ransomware-Angriffe genutzt wurde, handelt es sich bei Bleed 2 um ein leicht ausnutzbares und verbreitetes Schwachstellen-Szenario. Die Tatsache, dass erste Exploits bereits online sind, erhöht die Gefahr erheblich.
Fazit
Citrix Bleed 2 (CVE‑2025‑5777) ist eine kritische Sicherheitslücke, die aktive Patches und sofortige Reaktion verlangt. Der Schutz beginnt mit dem Update der NetScaler-Appliances und endet bei konsequentem Monitoring und Netzwerksicherheit. „Patch now“ lautet die Devise – bevor Angreifer die Oberhand gewinnen.
Sprechen Sie uns für weitere Details gerne direkt an oder wenden Sie sich formlos an hallo@enthus.de.
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.