Kritische Sicherheitslücken in NetScaler: Patchen und neue Standardkonfiguration

In den letzten zwei Wochen wurden mehrere kritische Sicherheitslücken in NetScaler ADC und Gateway bekannt. Diese Schwachstellen erfordern unmittelbare Updates, bergen jedoch auch Änderungen an den Standardkonfigurationen, die Administratoren beachten müssen, um Betriebsstörungen zu vermeiden.

Überblick über die relevanten Schwachstellen

CVE-2025-5777 ("CitrixBleed 2")

Diese kritische Schwachstelle erlaubt einem Angreifer, sensible Speicherinhalte der Appliance auszulesen und dadurch möglicherweise Authentifizierungen zu umgehen oder Sitzungen zu übernehmen. Besonders betroffen sind Appliances, die als VPN-Gateway oder AAA-Server genutzt werden.

CVE-2025-6543

Diese kritische Schwachstelle betrifft ebenfalls Appliances im Gateway-/AAA-Modus und ermöglicht es Angreifern, durch Speicherüberläufe die Appliance zum Absturz zu bringen (Denial of Service). Diese Lücke wurde bereits aktiv ausgenutzt.

CVE-2025-5349

Eine Schwachstelle im Management-Interface, die bei direktem Zugriff auf die Management-IP eine unzureichende Zugriffskontrolle ermöglicht.

Änderungen an Default-Einstellungen und deren Auswirkungen

Content Security Policy (CSP) Header nun standardmäßig aktiviert

In den neuen Firmware-Versionen (14.1-Build 47.46 und 13.1-Build 59.19) aktiviert Citrix standardmäßig den Content Security Policy Header für Gateway- und AAA-Anmeldeseiten. Diese Änderung erhöht die Sicherheit, indem potenzielle Cross-Site-Scripting-Angriffe verhindert werden. Allerdings können dadurch legitime, externe Skripte und Integrationen, z.B. MFA-Lösungen wie Duo oder SAML-basierte Authentifizierungen, blockiert werden.

Betriebliche Auswirkungen

Administratoren berichteten, dass nach dem Update Login-Seiten leer blieben oder das zweite Authentifizierungsfenster nicht mehr angezeigt wurde. Dies passiert, weil die neuen CSP-Regeln externe Skripte und Integrationen blockieren, die vorher problemlos funktionierten.

Empfehlung für Administratoren

Als Sofortmaßnahme empfiehlt es sich, den Default-CSP-Header temporär zu deaktivieren. Dies ist entweder über das GUI (unter NetScaler Gateway > Global Settings > AAA Settings) oder via CLI mit folgendem Befehl möglich:

set aaa parameter -defaultCSPHeader DISABLED
save ns config
flush cache contentgroup LoginStaticObjects

Nachdem sichergestellt wurde, dass die Login-Seiten wieder funktionieren, sollte mittelfristig die CSP-Kompatibilität der externen Skripte und Integrationen hergestellt werden, um langfristig die Sicherheitsvorteile des CSP-Headers nutzen zu können.

Weitere empfohlene Maßnahmen

• Aktive Sitzungen beenden: Nach der Installation des Updates empfiehlt Citrix dringend, alle aktiven ICA- und PCoIP-Verbindungen mit folgenden Befehlen zu terminieren:

kill icaconnection -all
kill pcoipConnection -all

Dies stellt sicher, dass keine möglicherweise kompromittierten Sitzungen bestehen bleiben.

• Absicherung des Management-Interfaces: Stellen Sie sicher, dass die NetScaler Management-IP nur intern zugänglich ist und idealerweise mit zusätzlichen Schutzmechanismen gesichert wird.
• Ausreichend Tests nach Updates: Nach dem Einspielen der Sicherheitsupdates sollte gründlich getestet werden, ob alle wichtigen Funktionen und Integrationen weiterhin erwartungsgemäß funktionieren. Besonders benutzerdefinierte Konfigurationen und Authentifizierungsprozesse verdienen hierbei besondere Aufmerksamkeit.

Die Lösung für den sicheren und reibungslosen Betrieb: Der Makro Factory Update Service

Die Komplexität von Patch-Zyklen und deren unvorhergesehene Nebenwirkungen binden wertvolle Ressourcen und bergen operative Risiken. Genau hier setzt der Update Service der Makro Factory an.

Als spezialisierter Partner für Citrix- und NetScaler-Umgebungen verstehen wir nicht nur die Sicherheitslücken, sondern auch die operativen Tücken, die mit jedem Update einhergehen.

Unser Service geht über das reine Einspielen von Patches hinaus:

• Proaktive Überwachung: Wir überwachen kontinuierlich die Security Bulletins und informieren Sie gezielt über relevante Bedrohungen für Ihre Infrastruktur.
• Ganzheitliches Patch-Management: Wir planen und führen die Updates professionell durch, inklusive aller notwendigen Vor- und Nachbereitungen wie Backups und System-Snapshots. Die Updateinstallation erfolgt innerhalb von 24h nach Veröffentlichung von kritischen Schwachstellen.
• Verifizierung und Anpassung: Unser entscheidender Vorteil liegt in der Detailarbeit. Wir kennen die Fallstricke wie geänderte Standardeinstellungen und überprüfen nach jedem Update proaktiv die Konfiguration, um unerwünschte Nebeneffekte zu verhindern und die Funktionalität Ihrer Dienste sicherzustellen.

Lagern Sie die Komplexität und die Risiken des Patch-Managements an die Experten der Makro Factory aus. So schützen Sie Ihr Unternehmen nicht nur vor kritischen Sicherheitslücken, sondern gewährleisten auch einen stabilen und unterbrechungsfreien Betrieb Ihrer geschäftskritischen Anwendungen.

Kontaktieren Sie uns noch heute, um mehr über unseren NetScaler Update Service zu erfahren und Ihre Infrastruktur zukunftssicher zu machen.

Fazit

Das sofortige Einspielen der aktuellen Sicherheitsupdates für Citrix NetScaler ist unerlässlich, um die beschriebenen kritischen Schwachstellen zu beheben. Administratoren sollten jedoch unbedingt die durch die Updates eingeführten Änderungen an den Standardkonfigurationen der CSP berücksichtigen und entsprechend handeln, um Betriebsunterbrechungen zu minimieren und den sicheren Betrieb langfristig zu gewährleisten.