27. August 2025
In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) sind mehrere Sicherheitslücken bekannt geworden. Betroffen sind die Schwachstellen CVE-2025-7775, CVE-2025-7776 und CVE-2025-8424.
Art der Schwachstellen
Es handelt sich um Speicherüberlauf-Lücken, die potenziell eine Remote-Code-Ausführung oder ein Denial-of-Service (DoS) ermöglichen. Die Angriffsflächen umfassen unter anderem:
-
Gateway-Funktionalitäten (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy)
-
AAA-Virtual Server
-
Virtuelle Load-Balancer-Server vom Typ HTTP, SSL oder HTTP_QUIC in Verbindung mit IPv6-Diensten oder -Servern
-
Virtuelle LB-Server, die mit DBS-IPv6-Diensten oder -Servern verbunden sind
-
Virtuelle CR-Server vom Typ HDX
Betroffene Versionen – Link
Die Sicherheitslücken treten in den folgenden Versionen auf:
-
NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-47.48
-
NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-59.22
-
NetScaler ADC 13.1-FIPS und NDcPP vor 13.1-37.241-FIPS und NDcPP
-
NetScaler ADC 12.1-FIPS und NDcPP vor 12.1-55.330-FIPS und NDcPP
Weitere Hinweise
Auch Secure Private Access On-Prem– und Hybrid-Bereitstellungen, die NetScaler-Instanzen einsetzen, sind betroffen. Kunden müssen ihre Systeme auf die jeweils empfohlenen Builds aktualisieren, um die Schwachstellen zu schließen.
Das Bulletin betrifft ausschließlich vom Kunden verwaltete Instanzen von NetScaler ADC und NetScaler Gateway. Die von Citrix verwalteten Cloud-Services sowie die adaptive Authentifizierung werden von der Cloud Software Group mit den notwendigen Updates versorgt.
CVE-2025-7775
Speicherüberlauf-Sicherheitslücke, die zu Remote-Code-Ausführung und/oder Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual Server konfiguriert sein
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-Servern verbunden sind.
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit DBS-IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-DBS-Servern verbunden sind.
(ODER)
Virtueller CR-Server vom Typ HDX.
CWE-119 – Unzureichende Einschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basisbewertung: 9,2
(CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
CVE-2025-7776
Speicherüberlauf-Sicherheitslücke, die zu unvorhersehbarem oder fehlerhaftem Verhalten und Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) konfiguriert sein, mit einem daran gebundenen PCoIP-Profil
CWE-119 – Unzureichende Beschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basiswert: 8,8
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L)
CVE-2025-8424
Unzulässige Zugriffskontrolle auf der NetScaler-Verwaltungsschnittstelle
Voraussetzungen
Zugriff auf NSIP, Cluster-Verwaltungs-IP oder lokale GSLB-Standort-IP oder SNIP mit Verwaltungszugriff
CWE-284: Unzulässige Zugriffskontrolle
CVSS v4.0-Basisbewertung: 8,7
(CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
Was Kunden tun sollten
Es wurden Exploits von CVE-2025-7775 auf nicht geschützten Geräten beobachtet.
Die Cloud Software Group fordert betroffene Kunden von NetScaler ADC und NetScaler Gateway dringend auf, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren.
- NetScaler ADC und NetScaler Gateway 14.1-47.48 und spätere Versionen
- NetScaler ADC und NetScaler Gateway 13.1-59.22 und spätere Versionen von 13.1
- NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und spätere Versionen von 13.1-FIPS und 13.1-NDcPP
- NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und spätere Versionen von 12.1-FIPS und 12.1-NDcPP
Hinweis: NetScaler ADC und NetScaler Gateway der Versionen 12.1 und 13.0 sind nun End Of Life (EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Sicherheitslücken beheben.
CVE-2025-7775:
Kunden können feststellen, ob sie über ein Gerät verfügen, das als eines der folgenden konfiguriert ist, indem sie ihre NetScaler-Konfiguration auf die angegebenen Zeichenfolgen überprüfen
- Ein Authentifizierungsserver (AAA-Vserver)
- add authentication vserver .*
- Ein Gateway (VPN-Vserver, ICA-Proxy, CVPN, RDP-Proxy)
- add vpn vserver .*
- LB-Vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an IPv6-Dienste oder Dienstgruppen, die an IPv6-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*add server .* <IPv6>bind servicegroup <servicegroup name> <IPv6 server> .*add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*bind lb vserver .* <ipv6 servicegroup name>- LB-vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an DBS-IPv6-Dienste oder Dienstgruppen, die an IPv6-DBS-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*add server .* <domain> -queryType AAAAadd service .* <IPv6 DBS server >bind servicegroup <servicegroup name> <IPv6 DBS server> .*lb vserver .* (HTTP_QUIC | SSL | HTTP) .* hinzufügenlb vserver .* <ipv6 servicegroup name> binden- CR vserver mit Typ HDX: cr vserver .* HDX .* hinzufügen
CVE-2025-7776:
Kunden können feststellen, ob sie über ein konfiguriertes Gerät verfügen, indem sie ihre ns.conf-Datei auf die angegebenen Zeichenfolgen überprüfen
- Ein Gateway (VPN-vserver) mit einem daran gebundenen PCoIP-Profil
add vpn vserver .* -pcoipVserverProfileName .*
Workarounds/mildernde Faktoren
Keine
Was Citrix unternimmt
Citrix informiert Kunden und Vertriebspartner über dieses potenzielle Sicherheitsproblem durch die Veröffentlichung dieses Sicherheitsbulletins im Citrix Knowledge Center unter https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Security%20Bulletin.
Noch mehr Lesestoff für Sie
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
OpenAI präsentiert GPT-5.2-Codex: KI-Revolution für autonome Softwareentwicklung und IT-Sicherheit
Speicherfehler in Live-Systemen aufspüren: GWP-ASan macht es möglich
Geparkte Domains als Einfallstor für Cyberkriminalität: Über 90 Prozent leiten zu Schadsoftware weiter
Umfassender Schutz für geschäftskritische SAP-Systeme: Strategien und Best Practices
Perfide Masche: Wie Cyberkriminelle über WhatsApp-Pairing ganze Konten übernehmen
Studien
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit
49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum
Deutschland im Glasfaserausbau international abgehängt
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
Whitepaper
State of Cloud Security Report 2025: Cloud-Angriffsfläche wächst schnell durch KI
BITMi zum Gutachten zum Datenzugriff von US-Behörden: EU-Unternehmen als Schlüssel zur Datensouveränität
Agentic AI als Katalysator: Wie die Software Defined Industry die Produktion revolutioniert
OWASP veröffentlicht Security-Framework für autonome KI-Systeme
Malware in Bewegung: Wie animierte Köder Nutzer in die Infektionsfalle locken
Hamsterrad-Rebell
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
