Citrix veröffentlicht dringende Patches für kritische Speicher-Overread-Schwachstellen in NetScaler ADC und Gateway

NetScaler ADC vulnerabilities CVE-2025-5777 Citrix security patches NetScaler Gateway memory overread critical VPN gateway vulnerabilities
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
1. Juli 2026
4 Min. Lesezeit
Citrix veröffentlicht dringende Patches für kritische Speicher-Overread-Schwachstellen in NetScaler ADC und Gateway

TL;DR

• Kritische Schwachstellen (CVSS 9.3) in NetScaler ADC und Gateway identifiziert. • CVE-2025-5777 und CVE-2026-3055 ermöglichen Speicher-Overreads und Sitzungs-Hijacking. • Sofortiges Patchen ist für alle NetScaler-Infrastrukturen erforderlich. • Administratoren müssen nach dem Software-Update alle aktiven Sitzungen ungültig machen.

Citrix veröffentlicht dringende Patches für kritische Speicher-Overread-Schwachstellen in NetScaler ADC und Gateway

Wenn Sie eine NetScaler-Infrastruktur betreiben, unterbrechen Sie Ihre Arbeit und überprüfen Sie Ihre Versionsnummern. Die Cloud Software Group hat soeben eine Reihe dringender Patches für NetScaler ADC, Gateway und Console veröffentlicht. Es handelt sich um eine Sammlung von Schwachstellen – einige mit einem CVSS-Score von 9,3 –, die es einem Angreifer ermöglichen könnten, Sitzungen zu kapern, sensible Daten auszuspähen oder direkt in Ihr Netzwerk einzudringen.

Dies ist keine Situation, in der man mit dem Patchen warten sollte, bis man Zeit hat. Diese Sicherheitslücken betreffen den Kernbereich, in dem Ihre Appliances Speicher und Authentifizierung verarbeiten.

Die Analyse: Was ist defekt?

Das Advisory deckt eine Reihe von Fehlern ab, aber zwei stechen aufgrund ihrer Schwere besonders hervor. Zuerst gibt es CVE-2025-5777, eine gefährliche Speicher-Overread-Schwachstelle, die NetScaler Gateway und AAA-virtuelle Server betrifft. Dann gibt es CVE-2026-3055, ein Out-of-Bounds-Read, das Systeme betrifft, die als SAML-Identitätsanbieter (IdP) fungieren.

In der Sicherheits-Community gibt es unterschiedliche Meinungen zur aktiven Ausnutzung. Einige Berichte deuten darauf hin, dass böswillige Akteure bereits versuchen, diese Lücken auszunutzen, während andere noch keine weit verbreiteten Kampagnen beobachtet haben. Unabhängig davon ist es bei derart hohen Werten ein riskantes Spiel, auf eine bestätigte Ausnutzung zu warten.

Hier ist das Wichtigste zu den primären Schwachstellen:

Schwachstelle CVSS-Score Schweregrad Primäre Auswirkung
CVE-2025-5777 9.3 Kritisch Speicher-Overread in Gateway/AAA
CVE-2026-3055 9.3 Kritisch Out-of-Bounds-Read (SAML IdP)
CVE-2025-5349 8.7 Hoch Fehlerhafte Zugriffskontrolle
CVE-2026-4368 7.7 Hoch Sitzungs-Mix-up/Race Condition
CVE-2025-4365 6.9 Mittel Beliebiges Lesen von Dateien

Nehmen wir zum Beispiel CVE-2026-4368. Es handelt sich um eine Race Condition, die Benutzersitzungen durcheinanderbringt. In einer gemeinsam genutzten oder mandantenfähigen Umgebung ist dies ein Albtraum – ein Benutzer könnte versehentlich in den Sitzungskontext eines anderen Benutzers gelangen. Es ist die Art von Logikfehler, die ein sicheres Gateway in ein Sieb verwandelt.

Der Remediation-Plan

Das Patchen ist nicht so einfach wie ein Klick auf „Aktualisieren“. Da diese Fehler die Speicherverwaltung betreffen, müssen Sie das System bereinigen, um sicherzustellen, dass keine „Geisterdaten“ zurückbleiben.

Besuchen Sie zunächst die offiziellen Sicherheitsupdates für NetScaler, um den spezifischen Build für Ihre Umgebung zu erhalten. Sie suchen nach Versionen wie 14.1-66.59, 13.1-62.23 oder 13.1-37.262 (für FIPS/NDcPP).

Sobald Sie das Update angewendet haben, sind Sie noch nicht fertig. Befolgen Sie diese Schritte, um sicherzustellen, dass die Korrektur wirksam ist:

  • Sitzungen beenden: Nach dem Upgrade müssen Sie alle aktiven und persistenten Sitzungen ungültig machen. Wenn Sie dies nicht tun, lassen Sie die Tür für potenziell kompromittierte Sitzungen offen.
  • Leitungen leeren: Bei HA-Paaren und Cluster-Knoten müssen Sie die Verbindungspuffer manuell leeren. Führen Sie kill icaconnection -all und kill pcoipConnection -all aus, um alle verbleibenden, potenziell infizierten Daten zu löschen.
  • Konsole absichern: Patchen Sie nicht einfach und vergessen Sie es dann. Überprüfen Sie Ihr Setup anhand der Best Practices für die Sicherheit der NetScaler-Konsole, um sicherzustellen, dass Ihre Verwaltungsschnittstellen nicht dem öffentlichen Internet ausgesetzt sind.

Das Sicherheits-Advisory von CERT-EU macht deutlich: Dies sind keine kleinen Fehler. Da sie das Herzstück Ihrer Authentifizierung treffen – insbesondere SAML IdP- und AAA-Server –, ist das Risiko eines Anmeldedaten-Diebstahls sehr real.

Härtung Ihres Perimeters

Wenn Sie Ihre Netzwerksicherheit schon länger verbessern wollten, ist jetzt der richtige Zeitpunkt. Das Patchen ist der erste Schritt, aber nur ein Teil einer Defense-in-Depth-Strategie. Werfen Sie einen Blick auf die NetScaler-Konfigurationsrichtlinien und beginnen Sie damit, den Zugriff auf Ihre Verwaltungsschnittstellen einzuschränken. Wenn ein Dienst nicht aus dem Internet erreichbar sein muss, sollte er es auch nicht sein.

Verwenden Sie den offiziellen Citrix-Support-Artikel, um Ihre Build-Anforderungen zu überprüfen. Jede Umgebung ist anders, und das Übersehen einer spezifischen Versionsanforderung könnte Sie angreifbar machen.

Die Bedrohungslandschaft bewegt sich schnell. Im Moment hat die Schließung dieser Lücken Priorität, bevor sie zur nächsten großen Schlagzeile in einem Sicherheitsbericht werden. Warten Sie nicht auf ein Wartungsfenster, das erst in Wochen stattfindet – setzen Sie diese Updates ganz oben auf Ihre Liste. Behalten Sie die offiziellen Kanäle im Auge, halten Sie Ihre Protokolle sauber und gehen Sie nicht davon aus, dass Ihre aktuelle Konfiguration „gut genug“ ist, bis Sie sie anhand dieser neuen Patches überprüft haben.

Sicherheit ist ein ständiges Katz-und-Maus-Spiel, und im Moment hat die Maus einen Vorsprung. Implementieren Sie diese Patches und leeren Sie die Sitzungspuffer.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Verwandte Nachrichten

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Von Viktor Sokolov 10. Juli 2026 4 Min. Lesezeit
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Von Marcus Chen 9. Juli 2026 4 Min. Lesezeit
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Von Elena Voss 8. Juli 2026 4 Min. Lesezeit
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Von James Okoro 7. Juli 2026 4 Min. Lesezeit
common.read_full_article