Citrix im Visier:
Neue Schwachstelle öffnet Angreifern Tür und Tor
Neue kritische Citrix-Schwachstelle „Citrix Bleed 2“ (CVE-2025-5777) wird offenbar bereits ausgenutzt
Die Sicherheitslücke CVE-2025-5777, bekannt unter dem Namen „Citrix Bleed 2“, entwickelt sich zunehmend zu einem akuten Risiko für Unternehmen, die NetScaler ADC oder NetScaler Gateway einsetzen. Laut dem CybersicherheitsunternehmenReliaQuest deuten erste Vorfälle auf eine aktive Ausnutzung dieser Schwachstelle hin – obwohl Citrix bislang keine bestätigten Exploits vermeldet hat.
Worum geht es bei „Citrix Bleed 2“?
Die Schwachstelle wurde am 17. Juni 2025 von Citrix gepatcht. Es handelt sich um eine Out-of-Bounds-Memory-Read-Lücke, die unauthentifizierten Angreifern erlaubt, geschützte Speicherbereiche auszulesen. Dadurch können sensible Informationen wie:
- Session-Tokens
- Zugangsdaten
- MFA-geschützte Sitzungen
gestohlen und missbraucht werden. Das ermöglicht nicht nur Session-Hijacking, sondern auch das Umgehen der Multi-Faktor-Authentifizierung (MFA).
Hinweise auf aktive Ausnutzung
Sicherheitsforscher Kevin Beaumont hatte frühzeitig vor einer möglichen Ausnutzung gewarnt – und wurde nun bestätigt: ReliaQuest beobachtet in realen Angriffen typische Indikatoren für einen Exploit dieser Schwachstelle:
- Sitzungen ohne Benutzerinteraktion, die auf gestohlene Tokens hinweisen
- Wiederverwendung von Citrix-Sitzungen von unterschiedlichen IP-Adressen
- LDAP-Abfragen nach dem Zugriff, zur Erkundung von Benutzer- und Gruppenstrukturen
- Einsatz von ADExplorer64.exe für gezielte Active-Directory-Rekonstruktion
- Verbindungen über VPN-Dienste mit anonymen IP-Adressen (z. B. DataCamp)
Diese Muster deuten auf eine professionelle, koordinierte Ausnutzung hin – mit dem Ziel, interne Netzwerke über Citrix-Umgebungen zu kompromittieren.
Wer ist betroffen?
Die Schwachstelle betrifft folgende NetScaler-Versionen:
- 14.1 < 14.1-43.56
- 13.1 < 13.1-58.32
- 13.1-FIPS/NDcPP < 13.1-37.235
Citrix empfiehlt ein sofortiges Update auf die jeweils aktuelle Version. Zusätzlich sollte jede aktive ICA- oder PCoIP-Sitzung beendet werden, da diese potenziell bereits kompromittiert sein könnten.
Vorgehen zur Überprüfung und Beendigung aktiver Sitzungen:
- Verdächtige Sitzungen prüfen:
- Sämtliche aktiven Verbindungen beenden:
bash
CopyEdit
show icaconnection
# oder im GUI unter NetScaler Gateway > PCoIP > Connections
bash
CopyEdit
kill icaconnection -all
kill pcoipconnection -all
Falls ein sofortiges Update nicht möglich ist, sollte der Zugriff auf NetScaler-Instanzen dringend über Firewall-Regeln oder Netzwerk-ACLs beschränkt werden.
Fazit: Schnelles Handeln erforderlich
Obwohl Citrix selbst aktuell „keine Hinweise auf eine aktive Ausnutzung“ meldet, deuten die Erkenntnisse von ReliaQuest stark darauf hin, dass CVE-2025-5777 bereits in gezielten Angriffen eingesetzt wird. Unternehmen mit exponierten NetScaler-Gateways sollten keine Zeit verlieren.
Unsere Empfehlung von cyberincident.at
✔️ Führen Sie umgehend das empfohlene Sicherheitsupdate durch
✔️ Beenden Sie alle aktiven Citrix-Sitzungen nach vorheriger Prüfung
✔️ Beschränken Sie den Zugriff auf externe Citrix-Instanzen
✔️ Überwachen Sie verdächtige Verbindungen, Token-Wiederverwendung und LDAP-Aktivität
Bei Bedarf unterstützen wir Sie gerne bei der Prüfung Ihrer Systeme, forensischen Analyse oder der schnellen Absicherung Ihrer Citrix-Infrastruktur.
