Mai 2026 dringende Sicherheitsupdates für seine XenServer– und NetScaler-Produktreihen veröffentlicht. Betroffen sind mehrere schwerwiegende Schwachstellen, die Angreifern unbefugten Zugriff auf sensible Daten ermöglichen können. Besonders brisant: Eine der Lücken wird bereits aktiv ausgenutzt.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheitslücken jetzt proaktiv schließen
XenServer-Updates schließen Privilegien-Lücken
Die Aktualisierungen für XenServer 8.4 adressieren zwei Sicherheitslücken, die als CVE-2026-23562 und CVE-2026-42486 geführt werden. Beide betreffen die rollenbasierte Zugriffskontrolle (RBAC) der Virtualisierungsplattform. Das Tückische: Ein bereits angemeldeter Administrator könnte seine Rechte über das eigentlich zugewiesene Maß hinaus ausweiten.
Dieses sogenannte „Privilege Creeping“ – bei dem ein Nutzer mit eingeschränkten Rechten die volle Kontrolle über das Host-System erlangt – stellt besonders in Multi-Tenant-Umgebungen ein erhebliches Risiko dar. Das Canadian Centre for Cyber Security empfahl Administratoren bereits unmittelbar nach der ersten Sicherheitswarnung vom 28. April, auf die aktuellen Builds umzusteigen.
NetScaler-Schwachstelle mit Alarmstufe Rot
Während die XenServer-Updates interne Berechtigungsrisiken entschärfen, sorgt eine deutlich gefährlichere Lücke für Kopfzerbrechen: Die Schwachstelle CVE-2026-3055 in NetScaler ADC und NetScaler Gateway erreicht auf dem CVSS-Sicherheitsskala den Wert 9,3 von 10 – die höchste Risikostufe.
Die Sicherheitsforscher von Rapid7 und watchTowr beschreiben das Problem als „Out-of-Bounds Read“: Ein nicht authentifizierter Angreifer kann aus der Ferne sensible Informationen direkt aus dem Arbeitsspeicher des Geräts auslesen. Besonders gefährlich ist dies für Systeme, die als SAML-Identitätsanbieter (IdP) konfiguriert sind. In solchen Fällen können Angreifer Sitzungstoken und Authentifizierungsdaten stehlen, Multi-Faktor-Authentifizierung umgehen und aktive Benutzersitzungen übernehmen.
Eine zweite Schwachstelle (CVE-2026-4368, CVSS 7,7) betrifft eine Race-Condition, die zu einer Verwechslung von Benutzersitzungen führen kann. Betroffen sind NetScaler-Versionen 14.1-66.54 im Gateway- oder AAA-Betrieb.
Aktive Angriffe bereits bestätigt
Die Dringlichkeit der aktuellen Patch-Welle unterstreichen Berichte über aktive Ausnutzung der Sicherheitslücken. Bereits am 30. März 2026 nahm die US-Cybersicherheitsbehörde CISA die Schwachstelle CVE-2026-3055 in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Forscher von watchTowr und Defused beobachteten erste Erkundungs- und Angriffsversuche bereits ab dem 27. März.
Die Angriffsmethode: Angreifer senden manipulierte Anfragen an die Authentifizierungsendpunkte der NetScaler-Geräte. Diese geben unterschiedliche Segmente des Arbeitsspeichers preis, die nach und nach zu einem vollständigen Bild sensibler Zugangsdaten zusammengesetzt werden können. Sicherheitsexperten sehen Parallelen zu den „Citrix Bleed„-Vorfällen aus dem Jahr 2023, bei denen ähnliche Speicherleck-Schwachstellen von Ransomware-Gruppen genutzt wurden.
Rekord-Schäden durch Phishing und Speicherlecks — Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulation und Datenklau schützen kann. Hacker-Abwehr in 4 Schritten sichern
Abwehrstrategien für Unternehmen
Cloud Software Group, der Mutterkonzern von Citrix und NetScaler, hat eine „Global Deny List“ (GDL) eingeführt. Diese Funktion erlaubt Administratoren, sofortige Schutzsignaturen anzuwenden – ohne einen vollständigen Systemneustart. Allerdings ist die GDL nur für bestimmte Firmware-Versionen verfügbar (14.1-60.52 und 14.1-60.57).
Für Organisationen, die diese Funktion nicht nutzen können, bleibt nur der vollständige Upgrade auf gepatchte Versionen. Dazu gehören NetScaler ADC und Gateway 14.1-66.59 sowie 13.1-62.23. Administratoren sollten zudem ihre Konfigurationen auf SAML-IdP-Profile überprüfen.
Ausblick: Der Druck auf Citrix wächst
Die wiederkehrenden Speicherleck-Schwachstellen in diesen Plattformen deuten auf ein grundlegendes Problem hin: Experten fordern robustere Eingabevalidierungsprotokolle bereits in der Entwicklungsphase. Für Unternehmen gilt: Nach dem Einspielen der Updates müssen alle aktiven und persistenten Sitzungen beendet werden – sonst könnten Angreifer weiterhin zuvor gestohlene Sitzungstoken nutzen.
Während Citrix-Cloud-Dienste automatisch aktualisiert werden, bleibt die Verantwortung für kundenverwaltete Instanzen bei den Unternehmen selbst. Bei bereits bestätigten Angriffen ist das Zeitfenster für Nachbesserungen bei noch ungepatchten, internetfähigen Geräten faktisch geschlossen.
