27. August 2025
In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) sind mehrere Sicherheitslücken bekannt geworden. Betroffen sind die Schwachstellen CVE-2025-7775, CVE-2025-7776 und CVE-2025-8424.
Art der Schwachstellen
Es handelt sich um Speicherüberlauf-Lücken, die potenziell eine Remote-Code-Ausführung oder ein Denial-of-Service (DoS) ermöglichen. Die Angriffsflächen umfassen unter anderem:
-
Gateway-Funktionalitäten (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy)
-
AAA-Virtual Server
-
Virtuelle Load-Balancer-Server vom Typ HTTP, SSL oder HTTP_QUIC in Verbindung mit IPv6-Diensten oder -Servern
-
Virtuelle LB-Server, die mit DBS-IPv6-Diensten oder -Servern verbunden sind
-
Virtuelle CR-Server vom Typ HDX
Betroffene Versionen – Link
Die Sicherheitslücken treten in den folgenden Versionen auf:
-
NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-47.48
-
NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-59.22
-
NetScaler ADC 13.1-FIPS und NDcPP vor 13.1-37.241-FIPS und NDcPP
-
NetScaler ADC 12.1-FIPS und NDcPP vor 12.1-55.330-FIPS und NDcPP
Weitere Hinweise
Auch Secure Private Access On-Prem– und Hybrid-Bereitstellungen, die NetScaler-Instanzen einsetzen, sind betroffen. Kunden müssen ihre Systeme auf die jeweils empfohlenen Builds aktualisieren, um die Schwachstellen zu schließen.
Das Bulletin betrifft ausschließlich vom Kunden verwaltete Instanzen von NetScaler ADC und NetScaler Gateway. Die von Citrix verwalteten Cloud-Services sowie die adaptive Authentifizierung werden von der Cloud Software Group mit den notwendigen Updates versorgt.
CVE-2025-7775
Speicherüberlauf-Sicherheitslücke, die zu Remote-Code-Ausführung und/oder Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual Server konfiguriert sein
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-Servern verbunden sind.
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit DBS-IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-DBS-Servern verbunden sind.
(ODER)
Virtueller CR-Server vom Typ HDX.
CWE-119 – Unzureichende Einschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basisbewertung: 9,2
(CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
CVE-2025-7776
Speicherüberlauf-Sicherheitslücke, die zu unvorhersehbarem oder fehlerhaftem Verhalten und Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) konfiguriert sein, mit einem daran gebundenen PCoIP-Profil
CWE-119 – Unzureichende Beschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basiswert: 8,8
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L)
CVE-2025-8424
Unzulässige Zugriffskontrolle auf der NetScaler-Verwaltungsschnittstelle
Voraussetzungen
Zugriff auf NSIP, Cluster-Verwaltungs-IP oder lokale GSLB-Standort-IP oder SNIP mit Verwaltungszugriff
CWE-284: Unzulässige Zugriffskontrolle
CVSS v4.0-Basisbewertung: 8,7
(CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
Was Kunden tun sollten
Es wurden Exploits von CVE-2025-7775 auf nicht geschützten Geräten beobachtet.
Die Cloud Software Group fordert betroffene Kunden von NetScaler ADC und NetScaler Gateway dringend auf, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren.
- NetScaler ADC und NetScaler Gateway 14.1-47.48 und spätere Versionen
- NetScaler ADC und NetScaler Gateway 13.1-59.22 und spätere Versionen von 13.1
- NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und spätere Versionen von 13.1-FIPS und 13.1-NDcPP
- NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und spätere Versionen von 12.1-FIPS und 12.1-NDcPP
Hinweis: NetScaler ADC und NetScaler Gateway der Versionen 12.1 und 13.0 sind nun End Of Life (EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Sicherheitslücken beheben.
CVE-2025-7775:
Kunden können feststellen, ob sie über ein Gerät verfügen, das als eines der folgenden konfiguriert ist, indem sie ihre NetScaler-Konfiguration auf die angegebenen Zeichenfolgen überprüfen
- Ein Authentifizierungsserver (AAA-Vserver)
- add authentication vserver .*
- Ein Gateway (VPN-Vserver, ICA-Proxy, CVPN, RDP-Proxy)
- add vpn vserver .*
- LB-Vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an IPv6-Dienste oder Dienstgruppen, die an IPv6-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*add server .* <IPv6>bind servicegroup <servicegroup name> <IPv6 server> .*add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*bind lb vserver .* <ipv6 servicegroup name>- LB-vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an DBS-IPv6-Dienste oder Dienstgruppen, die an IPv6-DBS-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*add server .* <domain> -queryType AAAAadd service .* <IPv6 DBS server >bind servicegroup <servicegroup name> <IPv6 DBS server> .*lb vserver .* (HTTP_QUIC | SSL | HTTP) .* hinzufügenlb vserver .* <ipv6 servicegroup name> binden- CR vserver mit Typ HDX: cr vserver .* HDX .* hinzufügen
CVE-2025-7776:
Kunden können feststellen, ob sie über ein konfiguriertes Gerät verfügen, indem sie ihre ns.conf-Datei auf die angegebenen Zeichenfolgen überprüfen
- Ein Gateway (VPN-vserver) mit einem daran gebundenen PCoIP-Profil
add vpn vserver .* -pcoipVserverProfileName .*
Workarounds/mildernde Faktoren
Keine
Was Citrix unternimmt
Citrix informiert Kunden und Vertriebspartner über dieses potenzielle Sicherheitsproblem durch die Veröffentlichung dieses Sicherheitsbulletins im Citrix Knowledge Center unter https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Security%20Bulletin.
Noch mehr Lesestoff für Sie
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl
Phishing-Angriff: Cyberkriminelle missbrauchen Microsoft-Infrastruktur für Betrugsmaschen
Wie Angreifer proprietäre KI-Modelle über normale API-Zugriffe stehlen können
KI-Agenten in cyber-physischen Systemen: Wie Deepfakes und MCP neue Sicherheitslücken öffnen
Sicherheitslücke in Cursor-IDE: Shell-Befehle werden zur Angriffsfläche
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://cdn-ileiehn.nitrocdn.com/EZdGeXuGcNedesCQNmzlOazGKKpdLlev/assets/images/optimized/rev-68905f9/www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Hamsterrad-Rebell
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
