Kritische NetScaler-Schwachstellen: Citrix bestätigt aktive Angriffe : Aktiver Exploit von CVE-2025-7775 zwingt Unternehmen zu sofortigem Handeln

Citrix veröffentlichte Sicherheitsupdates für drei Schwachstellen, die NetScaler-Installationen weltweit betreffen. Besonders gefährlich ist die als CVE-2025-7775 eingestufte Lücke mit einem Schweregrad von 9,2 nach dem CVSS-Score. Sie ermöglicht Remotecodeausführung oder Denial-of-Service-Angriffe und wird bereits in realen Angriffen eingesetzt.

Die weiteren Schwachstellen sind:

• CVE-2025-7776 (CVSS 8,8): Speicherüberlauf mit der Folge unvorhersehbarer Systemfehler und Denial-of-Service
• CVE-2025-8424 (CVSS 8,7): Unzureichende Zugriffskontrolle auf die NetScaler-Management-Oberfläche

Laut Citrix wurden Angriffe gegen ungepatchte Systeme beobachtet. Details zur Art der Angriffe oder den Hintermännern blieben jedoch bislang aus.

Exploit nur unter bestimmten Konfigurationen möglich

Die Angreifbarkeit hängt von den eingesetzten Konfigurationen ab:

• CVE-2025-7775: NetScaler muss als Gateway (etwa VPN, ICA Proxy, CVPN, RDP Proxy oder AAA-Server) oder als Load-Balancer mit bestimmten IPv6-Diensten beziehungsweise Content-Routing-Servern betrieben werden.
• CVE-2025-7776: Voraussetzung ist der Betrieb als Gateway mit aktivem PCoIP-Profil.
• CVE-2025-8424: Angreifer benötigen Zugriff auf Management-IP-Adressen wie NSIP, Cluster Management IP, lokale GSLB Site IP oder SNIP.

Damit wird deutlich: Nicht jede Installation ist automatisch gefährdet. Dennoch empfiehlt Citrix dringend, alle Systeme zu aktualisieren, da die Bedingungen in komplexen Umgebungen oft unbemerkt erfüllt sind.

Keine Workarounds – nur Updates schützen

Citrix stellt Patches für folgende Versionen bereit:

• NetScaler ADC und NetScaler Gateway 14.1-47.48 und höher
• NetScaler ADC und NetScaler Gateway 13.1-59.22 und höher
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP ab 13.1-37.241
• NetScaler ADC 12.1-FIPS und 12.1-NDcPP ab 12.1-55.330

Workarounds gibt es nicht. Unternehmen, welche die Lücken nicht sofort schließen, laufen Gefahr, Opfer gezielter Angriffe zu werden.

Die Schwachstellen wurden von Jimi Sebree (Horizon3.ai), Jonathan Hetzer (Schramm & Partnerfor) und François Hämmerli entdeckt und an Citrix gemeldet. Das Unternehmen bestätigte die Meldungen und veröffentlichte die Updates zeitnah.

Wiederholte Angriffe auf NetScaler

Die aktuelle Lücke reiht sich in eine Serie gefährlicher Schwachstellen ein. Erst vor wenigen Wochen sorgten CVE-2025-5777 (Citrix Bleed 2) und CVE-2025-6543 für Schlagzeilen. Nun folgt mit CVE-2025-7775 bereits die nächste Schwachstelle, die aktiv ausgenutzt wurde.

Die US-Behörde CISA reagierte schnell: Am 26. August 2025 nahm sie CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV) Katalog auf. Alle Behörden der Federal Civilian Executive Branch müssen die Lücke bis spätestens 28. August 2025 schließen.

Die CISA warnte ausdrücklich, dass der Speicherüberlauf in NetScaler ADC und Gateway Remotecodeausführung und Denial-of-Service ermöglichen könne. Auch Unternehmen außerhalb des Regierungsumfelds sollten die Dringlichkeit nicht unterschätzen.

Fazit

Unternehmen, die NetScaler einsetzen, sollten die aktuellen Updates ohne Verzögerung installieren. Die Kombination aus hoher Kritikalität, fehlenden Workarounds und bereits laufenden Angriffen macht die Lage ernst. Jede ungepatchte Appliance stellt ein potenzielles Einfallstor dar – und bietet Angreifern die Möglichkeit, tief ins Unternehmensnetz einzudringen.