Version 1.0: Citrix NetScaler ADC & NetScaler Gateway - Kritische Sicherheitslücken geschlossen und teils aktiv ausgenutzt

Beschreibung

Im Verlauf des Juni 2025 veröffentlichte der IT-Hersteller Citrix mehrere Patches für insgesamt drei Sicherheitslücken in seinem Application Delivery Controller NetScaler ADC und NetScaler Gateway – vormals Citrix ADC. Die Verwundbarkeiten weisen dabei unterschiedliche Schweregrade gemäß Common Vulnerability Scoring System (CVSS; 4.0) auf:

• CVE-2025-6543 wurde mit 9.2 ("kritisch") bewertet und führt zu einem unbeabsichtigtem Kontrollfluss und Denial-of-Service Zustand. Hervorgerufen wird die Schwachstelle durch fehlende Kontrolle über Speichergrenzen bei Pufferoperationen (CWE-119).
• CVE-2025-5777 wurde mit 9.3 ("kritisch") bewertet. Die Schwachstelle besteht in einer unzureichenden Eingabevalidierung, die zu Speicherüberauslesung (CWE-125) führt.
• CVE-2025-5349 wurde mit 8.7 ("hoch") bewertet und betrifft eine unzureichende Zugriffskontrolle (CWE-284) auf die NetScaler-Verwaltungsschnittstelle.

Zur Ausnutzung der Schwachstellen CVE-2025-6543 und CVE-2025-5777 muss NetScaler als Gateway (VPN virtual server, ICA Proxy, Clientless VPN (CVPN), RDP Proxy) oder AAA Virtual Server konfiguriert sein. Diese Konfiguration ist jedoch üblich.

Das Advisory zu CVE-2025-5349 und CVE-2025-5777 gab der Hersteller am 17. Juni 2025 heraus. Auf CVE-2025-6543 wies Citrix jedoch erst am 25. Juni 2025 hin. Gleichzeitig machte das Unternehmen bekannt, dass letztere Schwachstelle bereits aktiv ausgenutzt wird und somit auch die Patches aus der Vorwoche nochmals auf neue Versionen aktualisiert werden müssen, um einen vollständigen Schutz gegen die momentan bekannten Sicherheitslücken zu erreichen.