Sicherheitsvorfälle bei Citrix: Die bedrohliche Rückkehr von CitrixBleed 2?
Die jüngsten Sicherheitsvorfälle rund um Citrix Netscaler ADC und Gateway erinnern an die im Jahr 2023 aufgedeckte schwere Schwachstelle, die als CitrixBleed bekannt wurde. In der vergangenen Woche wurde Citrix über mehrere neue Sicherheitslücken in den Produkten Netscaler ADC und Gateway informiert, darunter eine, die als kritisch eingestuft wird. Diese neue Bedrohung hat nun zu Spekulationen geführt, sie könnte CitrixBleed 2 genannt werden, da sie gewisse Parallelen zur ursprünglichen CitrixBleed-Lücke aufweist.
Im Kern handelt es sich um eine Sicherheitslücke in Netscaler ADC und Gateway (CVE-2025-5777 / EUVD-2025-18497 mit einem CVSS-Score von 9.3, klassifiziert als kritisch), die Angreifern ermöglicht, Speicherbereiche außerhalb der definierten Grenzen zu lesen. Die Ursache dafür liegt in einer unzureichenden Überprüfung übermittelter Daten. Die ursprüngliche Beschreibung dieser Schwachstelle war zunächst allgemeiner gehalten und bezog sich auf das Auslesen sensibler Informationen in Netscaler ADC und Gateway, wenn diese als Gateway konfiguriert waren – etwa als VPN-Virtueller Server, ICA Proxy, CVPN oder RDP Proxy sowie als AAA-Virtueller Server (CVE-2023-4966 / EUVD-2023-54802 mit einem CVSS-Score von 9.4, ebenfalls kritisch eingestuft). Citrix aktualisierte diese Beschreibung jedoch kürzlich und fokussierte sich stärker auf die Problematik des Speicherzugriffs.
Die Parallele zur ursprünglichen CitrixBleed-Lücke besteht darin, dass beide Schwachstellen es Angreifern erlauben, ohne Authentifizierung im RAM auf sensible Daten zuzugreifen. Sowohl in der ursprünglichen als auch in der aktuellen Situation können Angreifer durch diese Zugriffe gültige Session-Tokens extrahieren und somit die Anmeldung umgehen, um letztendlich Zugriff auf Systeme zu erlangen. Dieses Vorgehen wurde bereits bei der ursprünglichen CitrixBleed-Exploitation beobachtet und stellt einen erheblichen Sicherheitsrisikofaktor dar.
In Reaktion auf diese neue Schwachstelle empfiehlt Citrix, dass alle aktiven ICA- und PCoIP-Sitzungen nach der Installation von Patches hart beendet werden müssen. Dies kann mit den Befehlen `codekill icaion -all` und `codekill pcoipion -all` erreicht werden.
Schlagwörter: Citrix Netscaler ADC + Gateway + CitrixBleed
(pz)
