Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel "CitrixBleed 2" verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: "Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen". Bei der "CitrixBleed 2"-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Beobachteter Missbrauch

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des "ADExplorer64.exe"-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche "CitrixBleed", bei dem HTTP-GET-Anfragen an den API- Endpunkt "/oauth/idp/.well-known/openid-configuration HTTP/1.1" gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Deutschland nach USA mit den meisten anfälligen Systemen

Auf Mastodon hat die Shadowserver Foundation aktuelle Zahlen bekanntgegeben. Demnach waren Stand 29. Juni insgesamt noch 1289 aus dem Internet erreichbare Systeme verwundbar. Der Höhepunkt war am 24. Juni, mit 2804 verwundbaren Citrix-Netscaler-Instanzen. Im Telegramm-Stil verkünden die IT-Forscher zudem: "Top: US & DE", also, dass die meisten anfälligen Server in den USA und in Deutschland stehen.

Vergangene Woche hatte Citrix die Schwachstellenbeschreibung der Sicherheitslücke CVE-2025-5777 / EUVD-2025-18497 angepasst. Sie hat seitdem einen ähnlichen Wortlaut wie die für die ursprüngliche "CitrixBleed"-Sicherheitslücke CVE-2023-4966 / EUVD-2023-54802, die 2023 massiv von Cyberkriminellen attackiert wurde.