27. August 2025
In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) sind mehrere Sicherheitslücken bekannt geworden. Betroffen sind die Schwachstellen CVE-2025-7775, CVE-2025-7776 und CVE-2025-8424.
Art der Schwachstellen
Es handelt sich um Speicherüberlauf-Lücken, die potenziell eine Remote-Code-Ausführung oder ein Denial-of-Service (DoS) ermöglichen. Die Angriffsflächen umfassen unter anderem:
-
Gateway-Funktionalitäten (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy)
-
AAA-Virtual Server
-
Virtuelle Load-Balancer-Server vom Typ HTTP, SSL oder HTTP_QUIC in Verbindung mit IPv6-Diensten oder -Servern
-
Virtuelle LB-Server, die mit DBS-IPv6-Diensten oder -Servern verbunden sind
-
Virtuelle CR-Server vom Typ HDX
Betroffene Versionen – Link
Die Sicherheitslücken treten in den folgenden Versionen auf:
-
NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-47.48
-
NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-59.22
-
NetScaler ADC 13.1-FIPS und NDcPP vor 13.1-37.241-FIPS und NDcPP
-
NetScaler ADC 12.1-FIPS und NDcPP vor 12.1-55.330-FIPS und NDcPP
Weitere Hinweise
Auch Secure Private Access On-Prem– und Hybrid-Bereitstellungen, die NetScaler-Instanzen einsetzen, sind betroffen. Kunden müssen ihre Systeme auf die jeweils empfohlenen Builds aktualisieren, um die Schwachstellen zu schließen.
Das Bulletin betrifft ausschließlich vom Kunden verwaltete Instanzen von NetScaler ADC und NetScaler Gateway. Die von Citrix verwalteten Cloud-Services sowie die adaptive Authentifizierung werden von der Cloud Software Group mit den notwendigen Updates versorgt.
CVE-2025-7775
Speicherüberlauf-Sicherheitslücke, die zu Remote-Code-Ausführung und/oder Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual Server konfiguriert sein
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-Servern verbunden sind.
(ODER)
NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit DBS-IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-DBS-Servern verbunden sind.
(ODER)
Virtueller CR-Server vom Typ HDX.
CWE-119 – Unzureichende Einschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basisbewertung: 9,2
(CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
CVE-2025-7776
Speicherüberlauf-Sicherheitslücke, die zu unvorhersehbarem oder fehlerhaftem Verhalten und Denial-of-Service führt
Voraussetzungen
NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) konfiguriert sein, mit einem daran gebundenen PCoIP-Profil
CWE-119 – Unzureichende Beschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers
CVSS v4.0-Basiswert: 8,8
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L)
CVE-2025-8424
Unzulässige Zugriffskontrolle auf der NetScaler-Verwaltungsschnittstelle
Voraussetzungen
Zugriff auf NSIP, Cluster-Verwaltungs-IP oder lokale GSLB-Standort-IP oder SNIP mit Verwaltungszugriff
CWE-284: Unzulässige Zugriffskontrolle
CVSS v4.0-Basisbewertung: 8,7
(CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)
Was Kunden tun sollten
Es wurden Exploits von CVE-2025-7775 auf nicht geschützten Geräten beobachtet.
Die Cloud Software Group fordert betroffene Kunden von NetScaler ADC und NetScaler Gateway dringend auf, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren.
- NetScaler ADC und NetScaler Gateway 14.1-47.48 und spätere Versionen
- NetScaler ADC und NetScaler Gateway 13.1-59.22 und spätere Versionen von 13.1
- NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und spätere Versionen von 13.1-FIPS und 13.1-NDcPP
- NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und spätere Versionen von 12.1-FIPS und 12.1-NDcPP
Hinweis: NetScaler ADC und NetScaler Gateway der Versionen 12.1 und 13.0 sind nun End Of Life (EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Sicherheitslücken beheben.
CVE-2025-7775:
Kunden können feststellen, ob sie über ein Gerät verfügen, das als eines der folgenden konfiguriert ist, indem sie ihre NetScaler-Konfiguration auf die angegebenen Zeichenfolgen überprüfen
- Ein Authentifizierungsserver (AAA-Vserver)
- add authentication vserver .*
- Ein Gateway (VPN-Vserver, ICA-Proxy, CVPN, RDP-Proxy)
- add vpn vserver .*
- LB-Vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an IPv6-Dienste oder Dienstgruppen, die an IPv6-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*add server .* <IPv6>bind servicegroup <servicegroup name> <IPv6 server> .*add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*bind lb vserver .* <ipv6 servicegroup name>- LB-vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an DBS-IPv6-Dienste oder Dienstgruppen, die an IPv6-DBS-Server gebunden sind:
enable ns feature lb.*add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*add server .* <domain> -queryType AAAAadd service .* <IPv6 DBS server >bind servicegroup <servicegroup name> <IPv6 DBS server> .*lb vserver .* (HTTP_QUIC | SSL | HTTP) .* hinzufügenlb vserver .* <ipv6 servicegroup name> binden- CR vserver mit Typ HDX: cr vserver .* HDX .* hinzufügen
CVE-2025-7776:
Kunden können feststellen, ob sie über ein konfiguriertes Gerät verfügen, indem sie ihre ns.conf-Datei auf die angegebenen Zeichenfolgen überprüfen
- Ein Gateway (VPN-vserver) mit einem daran gebundenen PCoIP-Profil
add vpn vserver .* -pcoipVserverProfileName .*
Workarounds/mildernde Faktoren
Keine
Was Citrix unternimmt
Citrix informiert Kunden und Vertriebspartner über dieses potenzielle Sicherheitsproblem durch die Veröffentlichung dieses Sicherheitsbulletins im Citrix Knowledge Center unter https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Security%20Bulletin.
Noch mehr Lesestoff für Sie
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
