Sicherheitshinweis: Kritische Schwachstellen in NetScaler ADC und NetScaler Gateway

In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) sind mehrere Sicherheitslücken bekannt geworden. Betroffen sind die Schwachstellen CVE-2025-7775, CVE-2025-7776 und CVE-2025-8424.

Art der Schwachstellen

Es handelt sich um Speicherüberlauf-Lücken, die potenziell eine Remote-Code-Ausführung oder ein Denial-of-Service (DoS) ermöglichen. Die Angriffsflächen umfassen unter anderem:

• Gateway-Funktionalitäten (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy)

• AAA-Virtual Server

• Virtuelle Load-Balancer-Server vom Typ HTTP, SSL oder HTTP_QUIC in Verbindung mit IPv6-Diensten oder -Servern

• Virtuelle LB-Server, die mit DBS-IPv6-Diensten oder -Servern verbunden sind

• Virtuelle CR-Server vom Typ HDX

Betroffene Versionen – Link

Die Sicherheitslücken treten in den folgenden Versionen auf:

• NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-47.48

• NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-59.22

• NetScaler ADC 13.1-FIPS und NDcPP vor 13.1-37.241-FIPS und NDcPP

• NetScaler ADC 12.1-FIPS und NDcPP vor 12.1-55.330-FIPS und NDcPP

Weitere Hinweise

Auch Secure Private Access On-Prem– und Hybrid-Bereitstellungen, die NetScaler-Instanzen einsetzen, sind betroffen. Kunden müssen ihre Systeme auf die jeweils empfohlenen Builds aktualisieren, um die Schwachstellen zu schließen.

Das Bulletin betrifft ausschließlich vom Kunden verwaltete Instanzen von NetScaler ADC und NetScaler Gateway. Die von Citrix verwalteten Cloud-Services sowie die adaptive Authentifizierung werden von der Cloud Software Group mit den notwendigen Updates versorgt.

CVE-2025-7775

Speicherüberlauf-Sicherheitslücke, die zu Remote-Code-Ausführung und/oder Denial-of-Service führt

Voraussetzungen

NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) oder AAA-Virtual Server konfiguriert sein

(ODER)

NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-Servern verbunden sind.

(ODER)

NetScaler ADC und NetScaler Gateway 13.1, 14.1, 13.1-FIPS und NDcPP: Virtuelle LB-Server vom Typ (HTTP, SSL oder HTTP_QUIC), die mit DBS-IPv6-Diensten verbunden sind, oder Dienstgruppen, die mit IPv6-DBS-Servern verbunden sind.

(ODER)

Virtueller CR-Server vom Typ HDX.

CWE-119 – Unzureichende Einschränkung von Vorgängen innerhalb der Grenzen eines Speicherpuffers

CVSS v4.0-Basisbewertung: 9,2

(CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)

CVE-2025-7776

Speicherüberlauf-Sicherheitslücke, die zu unvorhersehbarem oder fehlerhaftem Verhalten und Denial-of-Service führt

Voraussetzungen

NetScaler muss als Gateway (VPN-Virtual Server, ICA-Proxy, CVPN, RDP-Proxy) konfiguriert sein, mit einem daran gebundenen PCoIP-Profil

CWE-119 – Unzureichende Beschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers

CVSS v4.0-Basiswert: 8,8

(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L)

CVE-2025-8424

Unzulässige Zugriffskontrolle auf der NetScaler-Verwaltungsschnittstelle

Voraussetzungen

Zugriff auf NSIP, Cluster-Verwaltungs-IP oder lokale GSLB-Standort-IP oder SNIP mit Verwaltungszugriff

CWE-284: Unzulässige Zugriffskontrolle

CVSS v4.0-Basisbewertung: 8,7

(CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)

Was Kunden tun sollten

Es wurden Exploits von CVE-2025-7775 auf nicht geschützten Geräten beobachtet.

Die Cloud Software Group fordert betroffene Kunden von NetScaler ADC und NetScaler Gateway dringend auf, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren.

• NetScaler ADC und NetScaler Gateway 14.1-47.48 und spätere Versionen
• NetScaler ADC und NetScaler Gateway 13.1-59.22 und spätere Versionen von 13.1
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.241 und spätere Versionen von 13.1-FIPS und 13.1-NDcPP
• NetScaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.330 und spätere Versionen von 12.1-FIPS und 12.1-NDcPP

Hinweis: NetScaler ADC und NetScaler Gateway der Versionen 12.1 und 13.0 sind nun End Of Life (EOL) und werden nicht mehr unterstützt. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren, die die Sicherheitslücken beheben.

CVE-2025-7775:

Kunden können feststellen, ob sie über ein Gerät verfügen, das als eines der folgenden konfiguriert ist, indem sie ihre NetScaler-Konfiguration auf die angegebenen Zeichenfolgen überprüfen

• Ein Authentifizierungsserver (AAA-Vserver)
• add authentication vserver .*

• Ein Gateway (VPN-Vserver, ICA-Proxy, CVPN, RDP-Proxy)
• add vpn vserver .*

• LB-Vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an IPv6-Dienste oder Dienstgruppen, die an IPv6-Server gebunden sind:

enable ns feature lb.*

add serviceGroup .* (HTTP_QUIC|SSL|HTTP) .*

add server .* <IPv6>

bind servicegroup <servicegroup name> <IPv6 server> .*

add lb vserver .* (HTTP_QUIC|SSL|HTTP) .*

bind lb vserver .* <ipv6 servicegroup name>

• LB-vserver vom Typ HTTP_QUIC|SSL|HTTP, gebunden an DBS-IPv6-Dienste oder Dienstgruppen, die an IPv6-DBS-Server gebunden sind:

enable ns feature lb.*

add serviceGroup .* (HTTP_QUIC | SSL | HTTP) .*

add server .* <domain> -queryType AAAA

add service .* <IPv6 DBS server >

bind servicegroup <servicegroup name> <IPv6 DBS server> .*

lb vserver .* (HTTP_QUIC | SSL | HTTP) .* hinzufügen

lb vserver .* <ipv6 servicegroup name> binden

• CR vserver mit Typ HDX: cr vserver .* HDX .* hinzufügen

CVE-2025-7776:

Kunden können feststellen, ob sie über ein konfiguriertes Gerät verfügen, indem sie ihre ns.conf-Datei auf die angegebenen Zeichenfolgen überprüfen

• Ein Gateway (VPN-vserver) mit einem daran gebundenen PCoIP-Profil

add vpn vserver .* -pcoipVserverProfileName .*

Workarounds/mildernde Faktoren

Keine

Was Citrix unternimmt

Citrix informiert Kunden und Vertriebspartner über dieses potenzielle Sicherheitsproblem durch die Veröffentlichung dieses Sicherheitsbulletins im Citrix Knowledge Center unter https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Security%20Bulletin.

Noch mehr Lesestoff für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky