Die aktive Aufklärung durch Cyberkriminelle zeigt sich in gezielten Sondierungsangriffen, bei denen Angreifer die Endpunkte von NetScaler-Appliances abfragen. Defused Cyber berichtete in sozialen Medien von “Auth Method Fingerprinting”-Aktivitäten in ihren Honeypots – köderweisen Überwachungssystemen, die Angriffe simulieren. Die Attacker greifen dabei auf den Endpunkt “/cgi/GetAuthMethods” zu, um herauszufinden, welche Authentifizierungsmethoden aktiviert sind.
Diese Sondierungen sind ein typisches Vorsignal für bevorstehende Ausnutzung. Angreifer versuchen zunächst, anfällige Systeme zu identifizieren, bevor sie zum Angriff übergehen. watchTowr warnte parallel, dass auch in ihren Honeypot-Netzwerken aktive Rekognitionsvorgänge gegen NetScaler-Instanzen erkannt wurden. Das Szenario ist klar: Es ist nicht die Frage ob, sondern wann großflächige Ausnutzung stattfindet.
Die anfälligen Versionen sind konkret:
- NetScaler ADC und NetScaler Gateway 14.1 vor Version 14.1-66.59
- NetScaler ADC und NetScaler Gateway 13.1 vor Version 13.1-62.23
- NetScaler ADC 13.1-FIPS und 13.1-NDcPP vor Version 13.1-37.262
Citrix hat bereits Patches zur Verfügung gestellt. Besonders kritisch ist die Tatsache, dass NetScaler-Lücken in der Vergangenheit regelmäßig großflächig ausgenutzt wurden. CVE-2023-4966 (Citrix Bleed) und CVE-2025-5777 (Citrix Bleed 2) sind nur zwei Beispiele massiver Angriffskampagnen. Weitere kritische Lücken wie CVE-2025-6543 und CVE-2025-7775 wurden ebenfalls wild ausgebeutet.
Für Organisationen in Deutschland bedeutet dies: Das Zeitfenster für Maßnahmen schrumpft rapide. Administratoren müssen unmittelbar ihre NetScaler-Installationen überprüfen, feststellen, ob sie als SAML IDP konfiguriert sind, und die bereitgestellten Sicherheitsupdates einspielen. Eine schnelle Patch-Strategie ist nicht optional – sie ist existenziell für den Schutz von Netzwerk-Perimetern, die durch NetScaler geschützt werden.