CTX696604: Mehrere neue Sicherheitslücken Citrix NetScaler ADC und NetScaler Gateway
Der Citrix-Sicherheitshinweis CTX696604 behandelt sechs Sicherheitslücken in vom Kunden verwalteten NetScaler ADC- und NetScaler Gateway-Systemen. NetScaler Gateway wird zur Authentifizierung von Remote-Benutzern und deren Verbindung mit internen Netzwerkressourcen verwendet, und die Lastverteilung von NetScaler ADC ist eine Kernfunktion zur Verteilung von Anfragen und zur Verbesserung der Verfügbarkeit. Die Schwachstellen in diesem Bulletin können zu Speicherüberlauf, Denial-of-Service (DoS) und dem Auslesen beliebiger Dateien führen. Allerdings müssen bestimmte Konfigurationen vorliegen, damit die Schwachstellen ausgenutzt werden können.
Das Bulletin gilt nur für vom Kunden verwaltete NetScaler ADC- und NetScaler Gateway-Systeme. Die Citrix-Cloud-Dienste wurden von Citrix bereits aktualisiert. In einigen Fällen erfordert die Ausnutzung bestimmte Bereitstellungen oder aktivierte Funktionen, wie z. B. SAML-IDP, Gateway-Dienste, die Freigabe virtueller AAA-Server, Oracle- oder DNS-Rollen, Verwaltungszugriff auf NSIP oder SNIP sowie Protokolloptionen, die mit virtuellen Servern oder Diensten verknüpft sind.
Es gibt keine Hinweise auf eine aktive Ausnutzung der in der Sicherheitsmitteilung CTX696604 aufgeführten CVEs, und es wurden keine öffentlichen Proof-of-Concept-Exploits (PoC) veröffentlicht. Die gleichen betroffenen Produkte waren jedoch bereits im März 2026 aktiv ausgenutzt. Insgesamt wurde Citrix NetScaler seit Ende 2021 22 Mal in CISA’s KEV-Liste aufgenommen, davon erschreckenderweise 7 Mal im Zusammenhang mit Ransomware-Angriffen. Für die neuen CVEs wurden mehrere nationale CERT-Warnungen herausgegeben, was auf ein hohes globales Risiko hindeutet [1][2][3][4][5][6][7][8][9][10][11][12][13].

Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Check, der anfällige NetScaler ADC- und NetScaler Gateway-Installationen identifiziert, die von den CVEs im Citrix-Bulletin CTX696604 betroffen sind. Holen sie sich OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED, um tiefgreifende Einblicke zu gewinnen, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.
Details zu den Sicherheitslücken im Citrix-Bulletin CTX696604
Die sechs CVEs in dem Bulletin können zu Speicherüberlauf, DoS und dem Auslesen beliebiger Dateien führen. In jedem Fall knüpft der Anbieter die Ausnutzbarkeit an eine bestimmte Konfiguration, was das Risiko zwar verringert, die Notwendigkeit von Patches jedoch nicht beseitigt. Die betrieblich sensibelsten Probleme sind diejenigen, die unauthentifiziert und über das Netzwerk erreichbar sind.
Die sechs in der Citrix-Sicherheitsmitteilung CTX696604 offengelegten CVEs, jeweils mit ihrem CVSS-Schweregrad und dem EPSS-Wert für die Ausnutzungswahrscheinlichkeit
Eine nicht authentifizierte, aus der Ferne ausnutzbare Sicherheitslücke durch Speicherüberlauf [CWE-119], die zu unerwartetem Verhalten oder einem Denial-of-Service führen kann. Die Sicherheitslücke betrifft Geräte, die SSL-VPN, ICA-Proxy, CVPN, RDP-Proxy oder einen virtuellen AAA-Server nutzen.
Eine nicht authentifizierte, aus der Ferne ausnutzbare Speicherüberlesung [CWE-119] betrifft NetScaler ADC nur, wenn es als Oracle- oder DNS-Proxy-Load-Balancer oder als rekursiver DNS-Resolver konfiguriert ist, und führt zu unerwartetem Verhalten oder einem Denial-of-Service.
Ein nicht authentifizierter, aus der Ferne ausnutzbarer Out-of-Bounds-Lesezugriff [CWE-125], durch den sensible Informationen offengelegt werden können. Die Schwachstelle betrifft nur NetScaler ADC oder NetScaler Gateway, wenn diese als SAML-Identitätsanbieter konfiguriert sind.
Eine nicht authentifizierte, aus der Ferne ausnutzbare externe Kontrolle über Dateinamen oder -pfade [CWE-73], die das Auslesen beliebiger Dateien ermöglicht. Erfordert Zugriff auf die NetScaler-IP, die Cluster-Management-IP oder die Subnetz-IP-Adresse, bei der der Verwaltungszugriff aktiviert ist.
Ein nicht authentifizierter, aus der Ferne ausnutzbarer Lesezugriff außerhalb des zulässigen Bereichs [CWE-125], der zum Lesen beliebiger Dateien und zur potenziellen Offenlegung sensibler Informationen führen kann. Betrifft nur Konfigurationen, bei denen „TCP Timestamp“ in einem TCP-Profil aktiviert ist, das einem virtuellen Server oder Dienst zugeordnet ist.
Eine nicht authentifizierte, aus der Ferne ausnutzbare Denial-of-Service-Schwachstelle [CWE-401], die durch fehlerhafte HTTP/2-Anfragen ausgelöst wird. Betrifft nur Konfigurationen, bei denen HTTP/2 in einem HTTP-Profil aktiviert ist, das einem betroffenen virtuellen Server oder Dienst zugeordnet ist.
CVE-2026-8452 und CVE-2026-8655 sind beides potenziell schwerwiegende, aus der Ferne ausnutzbare Schwachstellen, für die keine Authentifizierung erforderlich ist. Beide betreffen Service-Endpunkte, die in der Regel uneingeschränkt zugänglich sind. CVE-2026-8451 kann zur Offenlegung sensibler Informationen führen, die bei nachfolgenden Angriffen ausgenutzt werden könnten. Während CVE-2026-10816 ebenfalls aus der Ferne ohne Authentifizierung ausnutzbar ist, muss der Verwaltungszugriff auf das betroffene Gerät aktiviert sein.
Jetzt kostenlos testen
Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Check zur Identifizierung anfälliger NetScaler-ADC- und NetScaler-Gateway-Installationen, die von den in der Citrix-Sicherheitsmitteilung CTX696604 genannten CVEs betroffen sind. Holen Sie sich OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED, um einen umfassenden Einblick zu erhalten, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.
Betroffene Produkte und Versionen
Die Sicherheitsempfehlung betrifft mehrere vom Kunden verwaltete NetScaler-Produktlinien, darunter Standardversionen sowie FIPS- oder NDcPP-Builds. Nach Angaben des Anbieters sind auch „Secure Private Access Hybrid“-Bereitstellungen, die NetScaler-Instanzen verwenden, betroffen. Die Auswirkungen sind konfigurationsabhängig, daher sollten Sicherheitsverantwortliche sowohl den Versionsstatus überprüfen als auch feststellen, ob die aufgeführten Dienste oder Profile aktiviert sind.
Behebung der Citrix NetScaler-CVEs aus dem Bulletin CTX696604
Die vom Hersteller in der obigen Tabelle aufgeführten Versionen mit Fehlerbehebung bieten den effektivsten Weg zur Behebung. Unternehmen, die betroffene Geräte betreiben, sollten auf die entsprechende Version mit Fehlerbehebung für ihren Release-Zug umsteigen. Im Hersteller-Bulletin werden keine Workarounds beschrieben.
Für CVE-2026-13474 empfiehlt die Cyber Security Agency of Singapore, den Parameter Http2SmallWndTimeout auf 30 Sekunden einzustellen, um das Risiko zusätzlich zu mindern. Diese Empfehlung bezieht sich speziell auf das HTTP/2-bezogene Problem und ersetzt nicht den Hersteller-Patch.
Sicherheitsverantwortliche sollten überprüfen, ob die betroffenen Funktionen aktiviert sind, da die Anfälligkeit vom Bereitstellungsstatus abhängt. Sicherheitsteams sollten SAML-IDP-Konfigurationen, Gateway- und AAA-Virtual-Server, Oracle- und DNS-Rollen, den Verwaltungszugriff auf NSIP oder SNIP, TCP-Timestamp-Einstellungen in Profilen sowie die HTTP/2-Einstellungen in HTTP-Profilen überprüfen. Sind diese Funktionen nicht erforderlich, verringert ihre Deaktivierung das Risiko, während der Patch-Einbau geplant wird.
Zusammenfassung
Der Citrix-Sicherheitshinweis CTX696604 beschreibt sechs Sicherheitslücken in NetScaler ADC und NetScaler Gateway, die von Kunden verwaltete Bereitstellungen und bestimmte Secure Private Access Hybrid-Instanzen betreffen. Die CVEs mit dem höchsten Risiko sind konfigurationsabhängig. Dazu gehören jedoch auch Auswirkungen, die ohne Authentifizierung über das Netzwerk erreichbar sind, wie unerwartetes Verhalten, die Offenlegung sensibler Informationen, DoS-Angriffe und das Auslesen beliebiger Dateien. Die vorliegenden Hinweise deuten nicht auf eine aktive Ausnutzung oder das Vorhandensein eines öffentlichen PoC hin. Es wurden jedoch mehrere nationale CERT-Warnungen zu den CVEs herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13].
Unternehmen sollten ihre Infrastruktur auf betroffene Geräte überprüfen, sich vergewissern, ob die anfälligen Funktionen aktiviert sind, und die korrigierten Versionen für ihre Produktlinie unverzüglich installieren. Der OPENVAS ENTERPRISE FEED enthält einen Remote-Banner-Check, um anfällige NetScaler-ADC- und NetScaler-Gateway-Installationen zu identifizieren, die von den in der Citrix-Sicherheitsmitteilung CTX696604 genannten CVEs betroffen sind. Laden Sie sich OPENVAS SCAN mit einer kostenlosen zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED herunter, um einen umfassenden Einblick zu gewinnen, wo in der IT-Infrastruktur Ihres Unternehmens Software-Schwachstellen bestehen.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.



