SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Citrix-Lücke: CISA ordnet Notfall-Patches für deutsche Behörden an

Kritische Citrix-Lücke: CISA ordnet Notfall-Patches für deutsche Behörden an
Zusammenfassung

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Regierungsbehörden angewiesen, eine aktiv ausgenutzte Sicherheitslücke in Citrix NetScaler-Appliances bis Donnerstag zu beheben. Die Schwachstelle CVE-2026-3055 entstand durch unzureichende Eingabevalidierung und ermöglicht es nicht authentifizierten Angreifern, sensible Daten von Citrix ADC- oder Citrix Gateway-Appliances zu stehlen, die als SAML-Identitätsanbieter konfiguriert sind. Cybersicherheitsunternehmen wie Watchtowr haben bereits bestätigt, dass die Lücke in freier Wildbahn ausgenutzt wird, wobei Angreifer Admin-Authentifizierungssessions abfangen und vollständige Kontrolle über ungepatzte NetScaler-Appliances erlangen können. Die Schwachstelle ähnelt den weit verbreiteten Exploits CitrixBleed und CitrixBleed2, was das erhöhte Risiko unterstreicht. Obwohl die CISA-Anordnung formal nur für US-Bundesbehörden gilt, warnt die Agentur auch private Organisationen dringend, ihre Systeme so schnell wie möglich zu patchen. Für deutsche Unternehmen und Behörden ist dieser Patch besonders kritisch, da viele Organisationen Citrix NetScaler-Appliances zur Authentifizierung und zum sicheren Fernzugriff nutzen. Eine ungepatzte Infrastruktur könnte Angreifern direkten Zugang zu sensiblen Systemen ermöglichen und erhebliche Datenschutzverletzungen nach sich ziehen.

Die Schwachstelle CVE-2026-3055 resultiert aus unzureichender Eingabevalidierung in Citrix NetScaler-Appliances. Unauthentifizierte Angreifer aus dem Internet können diese Lücke ausnutzen, um sensitive Daten zu stehlen – besonders wenn die Geräte als SAML-Identitätsprovider (IDP) konfiguriert sind. Das Sicherheitsunternehmen Watchtowr meldete bereits wenige Tage nach der Veröffentlichung von Patches durch Citrix am 23. März, dass die Schwachstelle in der Praxis ausgenutzt wird. Besonders besorgniserregend: Angreifer können damit Admin-Authentifizierungssitzungs-IDs diebstahlsicher und damit potentiell komplette NetScaler-Appliances übernehmen.

Die neue Lücke zeigt technische Ähnlichkeiten zu den berüchtigten “CitrixBleed” und “CitrixBleed2”-Schwachstellen, die in der Vergangenheit bereits großflächig für Angriffe genutzt wurden. CitrixBleed etwa wurde 2023 als Zero-Day von mehreren Hackergruppen eingesetzt, um hochkarätige Ziele wie Boeing und Regierungsorganisationen zu kompromittieren. Im August 2025 folgte CitrixBleed2, das CISA damals als aktiv ausgenutzt kennzeichnete.

Am Montag listete CISA CVE-2026-3055 in ihrem “Known Exploited Vulnerabilities Catalog” auf – und ordnete damit gemäß der Direktive BOD 22-01 an, dass alle Bundesbehörden ihre Systeme bis Donnerstag sichern müssen. CISA warnt: “Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellt erhebliche Risiken für die föderale Infrastruktur dar.” Die Agentur fordert auf, entweder Mitigationsmaßnahmen des Herstellers zu folgen, Cloud-Services gemäß BOD 22-01 zu schützen oder die Produkte stillzulegen, falls Patches unaverfügbar sind.

Obwohl die Direktive nur US-Bundesbehörden bindet, appelliert CISA ausdrücklich auch an private Organisationen weltweit, CVE-2026-3055 mit höchster Priorität zu patchen. Für deutsche Unternehmen und Organisationen mit Citrix-Infrastruktur ist dies ein dringender Weckruf: Die Tatsache, dass Exploits bereits in der Praxis eingesetzt werden, macht schnelle Handlung essentiell.

Citrix hat bereits detaillierte Anleitungen zur Identifikation anfälliger Appliances veröffentlicht. Insgesamt hat CISA bereits 23 Citrix-Schwachstellen als in der Praxis ausgenutzt getaggt, sechs davon waren in Ransomware-Angriffen involved.

Ähnliche Artikel