Citrix-Sicherheitslücke: NCSC warnt vor anhaltenden Cyberangriffen (Update 11.08.2025)

Das niederländische National Cyber Security Centre (NCSC) hat eine dringende Warnung zu einer kritischen Sicherheitslücke in Citrix NetScaler-Systemen veröffentlicht. Die als CVE-2025-6543 bezeichnete Schwachstelle ermöglicht es Angreifern seit mindestens Mai 2025, gezielte Cyberangriffe auf mehrere wichtige Organisationen durchzuführen.

Betroffen sind die Citrix NetScaler Application Delivery Controller (ADC) und Gateway-Produkte. Die Angreifer setzen dabei hochentwickelte Methoden ein, darunter die aktive Löschung von Spuren, um ihre Aktivitäten zu verschleiern. Dies erschwert die forensische Aufklärung erheblich.

In einer aktuellen Aktualisierung ergänzt das NCSC seine vorherige Einschätzung und bestätigt, dass die Angriffe besonders ausgeklügelt sind und mehrere niederländische Institutionen erfolgreich ins Visier genommen wurden. Gleichzeitig gibt die Behörde neue Empfehlungen heraus, um Unternehmen und Behörden bei der Stärkung ihrer IT-Sicherheit zu unterstützen.

Seit der Entdeckung der Schwachstelle am 16. Juli läuft eine intensive Untersuchung. Trotz umfangreicher Analysen bleibt unklar, welche Organisationen tatsächlich betroffen sind, ob die Angreifer weiterhin aktiv sind und welche genauen Schäden entstanden sind. Die Ermittlungen dauern an, doch bereits jetzt wird deutlich, dass viele Fragen vorerst unbeantwortet bleiben.

Das NCSC appelliert an alle betroffenen und potenziell gefährdeten Stellen, die empfohlenen Sicherheitsmaßnahmen dringend umzusetzen und ihre digitale Widerstandsfähigkeit zu erhöhen.

Kurz zusammengefasst

• Das NCSC hat festgestellt, dass mehrere kritische Organisationen in den Niederlanden über eine Schwachstelle mit der Kennung CVE-2025-6543 in Citrix NetScaler erfolgreich angegriffen wurden.
• Das NCSC identifiziert die Angriffe als das Werk eines oder mehrerer Akteure, die ausgefeilte Methoden einsetzen. So wurde die Schwachstelle beispielsweise als Zero-Day-Schwachstelle ausgenutzt, und Spuren wurden aktiv gelöscht, um die Kompromittierung der betroffenen Organisationen zu verschleiern. Die Untersuchung ist noch nicht abgeschlossen, aber es kann bereits jetzt festgestellt werden, dass möglicherweise nicht alle Fragen zu diesem digitalen Angriff beantwortet werden können.
• Citrix hat Updates zur Behebung der Schwachstelle veröffentlicht. Die Aktualisierung der Systeme reicht jedoch nicht aus, um das Risiko einer Ausnutzung zu beseitigen.
• Das NCSC empfiehlt Organisationen, ihre Widerstandsfähigkeit durch die Implementierung von Defense-in-Depth-Managementmaßnahmen zu erhöhen. Dies trägt zu einer erhöhten Widerstandsfähigkeit gegen diesen spezifischen Angriff sowie gegen ähnliche Angriffe, die neue Schwachstellen ausnutzen, bei.

Citrix NetScaler: Was ist das?

Citrix NetScaler sorgt dafür, dass Websites und Anwendungen schnell und zuverlässig erreichbar bleiben. Ein NetScaler Gateway wird beispielsweise eingesetzt, um das Arbeiten von zu Hause aus zu ermöglichen. Über NetScaler Gateway können Mitarbeiter remote auf Unternehmensumgebungen und das Intranet eines Unternehmens oder einer Organisation zugreifen.

Citrix NetScaler ADC und Citrix NetScaler Gateway sind Netzwerklösungen, die sich auf digitale Sicherheit und den Zugriff auf Anwendungen und Unternehmensumgebungen konzentrieren. NetScaler ADC (Application Delivery Controller) fungiert als Load Balancer, verteilt den Netzwerkverkehr auf mehrere Server, sorgt für Sicherheit und gewährleistet die Verfügbarkeit von lokalen und Cloud-Anwendungen.

Sicherheitslücken

Bei mehreren Organisationen in den Niederlanden und im Ausland wurden Citrix-Geräte gefunden, die für die Schwachstellen CVE-2025-5349, CVE-2025-5777 und CVE-2025-6543 anfällig sind. Dies bedeutet jedoch nicht, dass diese Schwachstellen auf allen anfälligen Citrix-Systemen ausgenutzt wurden. Das NCSC hat Sicherheitshinweise zu diesen Schwachstellen herausgegeben.

Risiko des Missbrauchs

Das NCSC untersucht derzeit die potenzielle Ausnutzung von drei Schwachstellen in Citrix-Geräten. Die Untersuchung ergab, dass sich auf Citrix-Geräten bösartige Web-Shells befinden. Eine Web-Shell ist ein Stück bösartiger Code, der einem Angreifer Fernzugriff auf das System ermöglicht. Der Angreifer kann eine Web-Shell platzieren, indem er eine Schwachstelle ausnutzt. Das NCSC hat die Parteien kontaktiert, bei denen potenzielle Exploits gefunden wurden. Dies bedeutet jedoch nicht, dass Unternehmen keine eigenen Untersuchungen durchführen sollten.

Das Patchen einer Schwachstelle löst das Problem nicht.

Ein Angreifer kann sich auch nach dem Patchen der Schwachstelle den zuvor erlangten Zugriff auf ein System bewahren. Dadurch besteht weiterhin das Risiko einer Ausnutzung, da der Angreifer auf das zuvor kompromittierte System zurückkehren kann.

Erläuterung

Das NCSC hat festgestellt, dass mehrere kritische Organisationen in den Niederlanden erfolgreich angegriffen wurden.

Zero-Day-Schwachstelle

Weitere Untersuchungen haben ergeben, dass die Schwachstelle mindestens seit Anfang Mai vom Angreifer ausgenutzt wurde. Am 25. Juni veröffentlichte Citrix Informationen zur Schwachstelle CVE-2025-6543 und stellte einen Patch zur Behebung des Problems zur Verfügung. Da die Schwachstelle ausgenutzt wurde, bevor sie öffentlich bekannt wurde, handelt es sich um einen Zero-Day-Angriff.

Aktiv gelöschte Spuren

Forensische Untersuchungen bei betroffenen Organisationen haben ergeben, dass der Angreifer aktiv Spuren gelöscht hat. Dies erschwert die forensische Untersuchung.

Mehr Lesestoff für Sie

Die jährliche Virus Bulletin Conference kehrt vom 24. bis 26. September nach Europa zurück und bringt die globale Threat-Intelligence-Community für drei Tage nach Berlin, um sich über die neuesten Entwicklungen in der Cybersicherheit auszutauschen.

---