{"id":312977,"date":"2025-06-25T12:07:04","date_gmt":"2025-06-25T10:07:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312977"},"modified":"2025-06-26T15:07:06","modified_gmt":"2025-06-26T13:07:06","slug":"citrix-bleed-teil-2-schwachstelle-cve-2025-5777-weitet-sich-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/25\/citrix-bleed-teil-2-schwachstelle-cve-2025-5777-weitet-sich-aus\/","title":{"rendered":"Citrix Bleed Teil 2: Schwachstelle CVE-2025\u20135777 weitet sich aus"},"content":{"rendered":"

\"Stop[English<\/a>]Ist jemand unter der Leserschaft f\u00fcr Citrix NetScaler ADC und das NetScaler Gateway als Administrator verantwortlich. Die Tage hatte ich \u00fcber gravierende Schwachstellen berichtet, die zeitnah geschlossen werden sollten. Nun hat Citrix die Beschreibung von CVE-2025\u20135777 ge\u00e4ndert, die Sicherheitsl\u00fccke (CVSS 9.3) ist noch kritischer als gedacht. Citrix Bleed 2 ist quasi zur\u00fcck und ungepatchte Instanzen sind \u00e4u\u00dferst gef\u00e4hrdet.<\/p>\n

<\/p>\n

R\u00fcckblick: Was war Citrix Bleed (CVE-2023-4966)?<\/h2>\n

\"\"Zum 10. Oktober 2023 hatte der Anbieter Citrix eine Sicherheitswarnung CTX579459<\/a> vor den kritischen Schwachstellen CVE-2023-4966 and CVE-2023-4967) in NetScaler ADC and NetScaler Gateway herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitsl\u00fccken entdeckt.<\/p>\n

Bei der sp\u00e4ter als Citrix Bleed bezeichneten Schwachstelle CVE-2023-4966 handelt es sich um eine Information Disclosure-Schwachstelle, die mit dem CVSS Index 9.4 eingestuft wurde. \u00dcber die Schwachstelle lassen sich Informationen abziehen. Angreifer konnten Sitzungs-Tokens stehlen und f\u00fcr Angriffe nutzen. Das wurde von der Ransomware-Graupp Lockbit praktiziert. Ich hatte in den am Beitragsende verlinkten Blog-Beitr\u00e4gen \u00fcber den Sachverhalt informiert.<\/p>\n

Citrix NetScaler ADC ist ein Netzwerkger\u00e4t, das Load Balancing-, Firewall- und VPN-Dienste bereitstellt. Citrix NetScaler Gateway bezieht sich in der Regel auf die VPN- und Authentifizierungskomponenten, w\u00e4hrend ADC sich auf die Lastausgleichs- und Verkehrsmanagementfunktionen bezieht. Die Produkte sind immer wieder f\u00fcr Probleme und Schwachstellen gut.<\/p><\/blockquote>\n

Citrix Netscaler ADC-Schwachstelle CVE-2025-5777 (Juni 2025)<\/h2>\n

Zum 18. Juni 2025 hatte ich im Blog-Beitrag Citrix Netscaler ADC: Kritische Sicherheitsl\u00fccken dringend fixen<\/a> \u00fcber mehrere Schwachstellen in Citrix\u00a0NetScaler ADC und NetScaler Gateway berichtet und dringend zum Patchen geraten.<\/p>\n

Zur Schwachstelle\u00a0CVE-2025-5777<\/a> (CVSS 9.3) hie\u00df es, dass der NetScaler ADC und das NetScaler Gateway durch eine unzureichende Eingabevalidierung (Insufficient Input Validation) betroffen sind. Diese f\u00fchrt einem Lesen au\u00dferhalb des zul\u00e4ssigen Speichers (Memory Overread) auf der NetScaler Management-Schnittstelle.<\/p>\n

Betroffen sind NetScaler-Systeme, die als Gateway konfiguriert sind (z.B. VPN vServer, ICA Proxy, Citrix Virtual Private Network, RDP Proxy oder AAA vServer). Ein erfolgreicher Angriff kann zum Auslesen sensibler Daten f\u00fchren.<\/p>\n

Nur am Rande erw\u00e4hnt, Anfang Juni 2025 wurde ein kritischer Bug (CVE-2025-20286) in der Cisco ISE Authentifizierung bekannt<\/a>. Laut Cisco Sicherheitswarnung<\/a> wurden statische Passw\u00f6rter in der Cloud generiert.<\/p><\/blockquote>\n

Citrix Bleed 2 durch\u00a0CVE-2025-5777?<\/h2>\n

Zum 23. Juni 2025 gab es wohl eine Aktualisierung der Beschreibung zu CVE-2025-5777<\/a>. Hie\u00df es zum 17. Juni 2025 noch, dass man das \"Netscaler Management Interface\" wegen der Schwachstelle nicht dem Internet aussetzen sollte. Der Verweis auf das Netscaler Management Interface ist zum 23. Juni 2025 entfallen (l\u00e4sst sich unter CVE-2025-5777<\/a> nachschlagen, wenn man am Seitenende unter \"Change History\" auf den Link \"show changes\" klickt.<\/p>\n

\"CitrixBleed<\/a><\/p>\n

Sicherheitsforscher Kevin Beaumont ist dies aufgefallen und er hat sich auf Double-Pulsar im Artikel CitrixBleed 2: Electric Boogaloo \u2014 CVE-2025\u20135777<\/a> dar\u00fcber ausgelassen (Florian Roth weist in obigem Tweet darauf hin). Beaumont schreibt, dass die Schwachstelle es einem Angreifer erm\u00f6glicht, den Speicher des Netscalers auszulesen, wenn dieser als Gateway oder virtueller AAA-Server konfiguriert ist. Er erw\u00e4hnt den Fernzugriff \u00fcber Citrix, RDP usw. Diese Konfiguration ist in gro\u00dfen Unternehmen sehr verbreitet.<\/p>\n

In seinem Blog-Beitrag skizziert er Details und zeigt eine Suchanfrage an Shodan.io, die f\u00fcr Deutschland \u00fcber 6.800 Treffer zeigt. Beaumont gibt den Ratschlag, die dem Internet ausgesetzten Citrix Netscaler-Instanzen zu identifizieren, schnellstm\u00f6glich zu patchen, und die Sessions zu beenden. Denn sp\u00e4testens, wenn ein Exploit f\u00fcr CVE-2025-5777 verf\u00fcgbar ist und von Cyberangreifern ausgenutzt wird, ist Citrix Bleed 2 zur\u00fcck und das Kind in den Brunnen gefallen.<\/p>\n

Nachtrag: Citrix Security Bulletin Alert CTX694788<\/h2>\n

Blog-Leser Gero K. hat mir einen Auszug aus dem Citrix\u00a0Security Bulletin Alert CTX694788<\/a> vom 25. Juni 2025 zukommen lassen (danke daf\u00fcr). Das betrifft die Schwachstelle CVE-2025-6543 (CVSS Index 9.2). Bei \"Affected Versions\" hei\u00dft es, dass die folgenden Versionen von\u00a0NetScaler ADC und NetScaler Gateway von der Schwachstelle betroffen seien:<\/p>\n