SchwachstellenHackerangriffeCloud-Sicherheit

Citrix NetScaler: Kritische Speicherlücke wird aktiv in Angriffen ausgenutzt

Citrix NetScaler: Kritische Speicherlücke wird aktiv in Angriffen ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in Citrix NetScaler ADC und NetScaler Gateway Appliances wird derzeit aktiv von Cyberkriminellen ausgenutzt. Die als CVE-2026-3055 bezeichnete Schwachstelle ermöglicht es Angreifern, sensible Daten wie administratieve Sitzungs-IDs auszulesen und potenziell vollständige Kontrolle über die betroffenen Systeme zu erlangen. Citrix hatte die Lücke am 23. März veröffentlicht, doch Sicherheitsunternehmen wiesen schnell auf die erheblichen Risiken hin – die technische Ähnlichkeit zu den 2023 und 2025 massiv ausgebeuteten CitrixBleed-Schwachstellen ist bemerkenswert. Erste Anzeichen einer aktiven Ausnutzung wurden bereits ab dem 27. März dokumentiert. Besonders bemerkenswert ist, dass Citrix die Sicherheitslücke als zwei unterschiedliche Memory-Overread-Bugs entpuppte, nicht als eine einzelne. Für deutsche Unternehmen und Behörden mit on-premise NetScaler-Installationen stellt dies ein erhebliches Risiko dar, insbesondere für Organisationen, die diese Geräte als SAML-Identitätsprovider konfiguriert haben. Mit über 29.000 NetScaler-Instanzen im öffentlichen Internet ist die potenzielle Gefährdung erheblich. Sofortiges Patchen wird dringend empfohlen.

Die Cybersicherheitscommunity schlägt Alarm: Eine neue kritische Speicherlücke in Citrix NetScaler wird bereits von Hackern in echten Angriffen ausgenutzt. Die Sicherheitsforscher von watchTowr dokumentierten erste Exploits seit mindestens 27. März 2026. Sie zeigten dabei auf, dass Angreifer über die Lücke Zugang zu wertvollen Admin-Sitzungs-IDs erhalten und damit möglicherweise Kontrolle über ganze Appliances übernehmen können.

Die Lücke (CVE-2026-3055) betrifft Citrix NetScaler ADC und NetScaler Gateway in den Versionen vor 14.1-60.58, 13.1-62.23 und 13.1-37.262. Kritisch ist: Sie wurde zunächst als ein einzelner Fehler dargestellt, doch watchTowr-Analysen zeigten zwei separate Memory-Overread-Bugs auf. Der erste betrifft den ‘/saml/login’-Endpoint für SAML-Authentifizierung, der zweite den ‘/wsfed/passive’-Endpoint für WS-Federation-Passive-Authentifizierung.

Besonders problematisch ist die Reaktion von Citrix. Die Sicherheitsforscher kritisieren die Offenlegung als “unvollständig und verlogen”, da die eigentliche Auswirkung der Schwachstelle zu lange verheimlicht wurde. Erst nach watchTowrs Warnung vor imminent anstehenden Exploits in der Realität bestätigte sich: Bedrohungsakteure nutzen die Lücke bereits aktiv aus.

Das Bedrohungspotenzial ist erheblich. Nach Daten der ShadowServer Foundation sind allein 29.000 NetScaler-Instanzen und 2.250 Gateway-Appliances weltweit online erreichbar – die genaue Zahl der verwundbaren Systeme ist jedoch unklar. Besonders gefährlich: Die meisten dieser Geräte sitzen in geschäftskritischen Infrastrukturen, sie steuern VPN-Zugang, Single-Sign-On und Lastverteilung.

Deutsche Unternehmen und Behörden, die Citrix NetScaler On-Premise einsetzen, sollten sofort handeln. Die technische Ähnlichkeit zu den CitrixBleed-Lücken von 2023 und 2025, die zu massiven Datentransfers führten, unterstreicht die Dringlichkeit. Citrix empfiehlt dringend, alle betroffenen Systeme umgehend zu patchen. Sicherheitsforscher haben zudem Python-Skripte bereitgestellt, um verwundbare Hosts in Unternehmensnetzen zu identifizieren.

Es ist absehbar: Diese Lücke wird wie ihre Vorgänger zu einer der meistgenutzten Schwachstellen des Jahres. Schnelles Handeln ist jetzt erforderlich.

Ähnliche Artikel