SchwachstellenHackerangriffe

Citrix warnt vor kritischen NetScaler-Lücken: Patches dringend erforderlich

Citrix warnt vor kritischen NetScaler-Lücken: Patches dringend erforderlich
Zusammenfassung

Citrix hat zwei kritische Sicherheitslücken in seinen NetScaler-Produkten gepatcht, die potenziell erhebliche Risiken für Unternehmen weltweit darstellen. Die schwerwiegendste Schwachstelle (CVE-2026-3055) ermöglicht es Angreifern ohne Berechtigungen, sensible Informationen wie Session-Token von SAML-Identitätsprovidern auszulesen – ein Muster, das besorgniserregend an die gefürchteten CitrixBleed- und CitrixBleed2-Lücken erinnert, die in den vergangenen Jahren aktiv ausgenutzt wurden. Sicherheitsexperten warnen, dass Angreifer die nun veröffentlichten Patches schnell analysieren und Exploit-Code entwickeln könnten. Für deutsche Unternehmen und Behörden ist dies besonders relevant, da viele kritische Infrastrukturen sowie Finanz- und Behördennetze auf NetScaler-Appliances für sichere Fernzugriffe angewiesen sind. Shadowserver dokumentiert derzeit über 30.000 exponierte NetScaler-ADC-Instanzen online. Die US-Cybersicherheitsbehörde CISA hat bereits historisch 21 Citrix-Lücken als aktiv ausgenutzt erfasst, sieben davon in Ransomware-Angriffen. Deutsche IT-Administratoren müssen die bereitgestellten Patches unverzüglich einspielen, um Datenverluste und Kompromittierung von Netzwerken zu verhindern.

Die Cloud Software Group hat in dieser Woche zwei kritische Sicherheitslücken in ihren NetScaler-Produkten geschlossen und drängt betroffene Kunden zur unverzüglichen Anwendung der Patches. Die kritischste Schwachstelle wird unter der CVE-Nummer CVE-2026-3055 geführt und entstammt einer unzureichenden Eingabevalidierung in Appliances, die als SAML-Identitätsprovider konfiguriert sind. Ein erfolgreicher Exploit könnte es Angreifern ermöglichen, ohne Authentifizierung sensitive Informationen wie Session-Token aus dem Speicher auszulesen.

Betroffen sind NetScaler ADC und NetScaler Gateway in den Versionen 13.1 und 14.1. Citrix hat Fixes in den Versionen 13.1-62.23 und 14.1-66.59 bereitgestellt. Zusätzlich wurde die spezialisierte Version 13.1-37.262 für NetScaler ADC 13.1-FIPS und 13.1-NDcPP aktualisiert.

Die zweite Sicherheitslücke trägt die Bezeichnung CVE-2026-4368 und betrifft Appliances mit Gateway-Funktion (SSL VPN, ICA Proxy, CVPN, RDP Proxy) oder AAA-Virtual-Server. Angreifer mit niedrigen Systemrechten könnten eine Race Condition ausnutzen, um Session-Vermischungen herbeizuführen.

Besorgniserregend ist die Ähnlichkeit von CVE-2026-3055 zu den CitrixBleed-Varianten aus 2023 und 2025, die massiv in der freien Wildbahn ausgenutzt wurden. Das Sicherheitsunternehmen watchTowr warnt: “Es ist vernünftig zu erwarten, dass Bedrohungsakteure versuchen werden, den Patch zu reverse-engineeren, um Exploit-Kapazitäten zu entwickeln.” Rapid7 ergänzt, dass die Ausnutzung wahrscheinlich schnell erfolgen werde, sobald öffentliche Exploit-Codes verfügbar sind.

Die US-Cybersicherheitsbehörde CISA hat bereits 21 Citrix-Schwachstellen als aktiv ausgenutzt gelistet. Im August 2025 veranlasste CISA sogar Notfallmaßnahmen für CitrixBleed2 und gab Bundesbehörden nur einen Tag zur Sicherung ihrer Systeme.

Der Sicherheitswachdienst Shadowserver meldet über 30.000 öffentlich exposte NetScaler ADC-Instanzen und mehr als 2.300 Gateway-Instanzen im Internet. Wie viele davon tatsächlich anfällig sind oder bereits gepatcht wurden, ist unklar. Für deutsche Organisationen, die auf Citrix-Systeme für Remote-Zugriff und Identitätsverwaltung angewiesen sind, sollte die Sicherung dieser kritischen Infrastruktur oberste Priorität haben.

Ähnliche Artikel