Citrix: Neue Schwachstelle erlaubt Session-Hijacking
Eine neue Sicherheitslücke in Citrix NetScaler sorgt für Besorgnis unter IT-Admins: "CitrixBleed 2" erlaubt Angreifern den Zugriff auf Session-Daten – ganz ohne Authentifizierung. Besonders betroffen sind Systeme, die als Gateway für Remotezugriffe dienen. Wer nicht rechtzeitig patcht und bestehende Sitzungen beendet, riskiert die vollständige Übernahme akti
Eine kritische Schwachstelle in Citrix NetScaler ADC und Gateway sorgt derzeit für Unruhe in der IT-Sicherheitswelt. Die als CVE-2025-5777 katalogisierte Lücke, in Fachkreisen bereits "CitrixBleed 2" genannt, erinnert in Aufbau und Gefährlichkeit stark an die 2023 entdeckte CitrixBleed-Schwachstelle. Sie erlaubt es Angreifern, ohne Authentifizierung auf sensible Speicherbereiche zuzugreifen – einschließlich Session-Tokens und Anmeldedaten.
Remote-Zugriffe in Gefahr
Die Schwachstelle betrifft NetScaler-Geräte, die als Gateway oder AAA-Virtual-Server konfiguriert sind. Dazu zählen unter anderem VPN-Zugänge, ICA-Proxys und RDP-Gateways – häufig eingesetzte Szenarien in Unternehmen mit Remote-Zugriff. In Kombination mit der ebenfalls neu gemeldeten Lücke CVE-2025-5349, die fehlerhafte Zugriffskontrollen in der Management-Oberfläche betrifft, ergibt sich ein erhöhtes Risiko für unbefugte Zugriffe. Besonders kritisch ist, dass CVE-2025-5777 sich auch ohne Zugang zur Management-IP ausnutzen lässt.
Citrix hat inzwischen Updates bereitgestellt, die die Schwachstellen beheben: Nutzer sollten ihre Systeme auf Version 14.1-43.56 (oder höher) beziehungsweise 13.1-58.32 aktualisieren. Für FIPS-Varianten sind ebenfalls entsprechende Builds verfügbar. Wichtig ist laut Citrix und Sicherheitsforschern wie Kevin Beaumont und Charles Carmakal zudem, nach dem Patchen alle aktiven Sitzungen zu beenden – auch wenn keine Anzeichen für eine Kompromittierung bestehen. Grund: Bereits abgegriffene Tokens könnten ansonsten weiterhin für Session-Hijacking genutzt werden – auch nach dem Schließen der Schwachstelle.
Bestehende Sitzungen beenden
Ergänzend zur Installation der Sicherheitsupdates empfiehlt Citrix dringend, nach erfolgreichem Patchen alle aktiven Benutzer-Sitzungen zu beenden, um potenziell kompromittierte Tokens unbrauchbar zu machen. Administratoren sollten dazu zunächst mit dem Befehl show icaconnection bestehende ICA-Sitzungen prüfen und unter "NetScaler Gateway / PCoIP / Connections" etwaige PCoIP-Sitzungen analysieren.
Anschließend lassen sich alle aktiven Verbindungen gezielt beenden – mit den Kommandos kill icaconnection -all und kill pcoipconnection -all. Diese Maßnahme ist laut Sicherheitsexperten entscheidend, um die Nachnutzung gestohlener Sitzungsinformationen zu verhindern – ein Problem, das sich bei der ursprünglichen CitrixBleed-Lücke als besonders folgenreich erwiesen hatte.
Zehntausende NetScaler-Instanzen
Besonders problematisch: Auch Systeme, die bereits das Ende ihres Produktlebenszyklus erreicht haben – etwa NetScaler 12.1 oder 13.0 – sind betroffen, erhalten aber keine Sicherheitsupdates mehr. Organisationen, die diese Versionen noch einsetzen, wird ein dringendes Upgrade empfohlen. Laut Internet-Scans sind aktuell mehr als 56.000 NetScaler-Instanzen öffentlich erreichbar – wie viele davon verwundbar sind, ist unklar.
Auch wenn derzeit kein aktives Ausnutzen der Schwachstellen bestätigt wurde, raten Experten zum schnellen Handeln. Die Erfahrung mit dem ersten CitrixBleed zeigt, dass Angreifer oft rasch auf neue Schwachstellen reagieren – häufig, bevor erste Erkennungsmechanismen greifen. Unternehmen sollten daher nicht nur patchen, sondern auch ihre Logdaten auf verdächtige Aktivitäten hin untersuchen und ihre Sicherheitsstrategie gegebenenfalls anpassen.