CVE-2025-5777-Erkennung: Kritische Schwachstelle „CitrixBleed 2“ in NetScaler ADC mit hohem Ausnutzungsrisiko
Inhaltsverzeichnis:
Kurz nach der Offenlegung von zwei Sudo-bezogenen lokalen Rechteausweitungsschwachstellen, die große Linux-Distributionen betreffen, richtet sich die Aufmerksamkeit nun auf eine kritische Sicherheitslücke in NetScaler ADC, die bereits aktiv ausgenutzt wird. Die als CVE-2025-5777 verfolgte Schwachstelle ist als Speicherüberlaufproblem klassifiziert, das zu unerwartetem Kontrollfluss und potenziellen Denial-of-Service-Bedingungen führen kann. CVE-2025-5777 erlangte vor allem durch Ähnlichkeiten mit der zuvor veröffentlichten CVE-2023-4966, auch bekannt als CitrixBleed, Bekanntheit. Aus diesem Grund wurde CVE-2025-5777 inoffiziell als „CitrixBleed 2“ bezeichnet.
Erkennung von CVE-2025-5777-Ausnutzungsversuchen
In einer zunehmend komplexen digitalen Umgebung steigt die Anzahl neu entdeckter Schwachstellen rasant an – eine große Herausforderung für Cybersicherheitsteams. Im Jahr 2025 hat das NIST bereits über 24.000 CVEs dokumentiert, und laut Prognosen könnte diese Zahl bis Jahresende auf über 49.000 ansteigen.
Registrieren Sie sich auf der SOC Prime Plattform, um Zugang zu einem globalen Feed aktiver Bedrohungen zu erhalten. Dieser enthält umsetzbare Threat Intelligence und kuratierte Detection-Inhalte, die helfen, reale Angriffe zu erkennen – darunter auch Exploits für die neue CitrixBleed-2-Schwachstelle.
Die Plattform enthält eine spezielle Regel des SOC Prime Teams zur Identifizierung von CVE-2025-5777-Ausnutzung (alias CitrixBleed 2), bei der es zu Speicherlecks in Antworten kommen kann, was zum Diebstahl von Sitzungstoken und anderen sensiblen Daten führen kann.
Possible CitrixBleed 2 Exploitation Attempt [CVE-2025-5777]
Die Regel ist kompatibel mit 16 verschiedenen SIEM-, EDR- und Data-Lake-Plattformen und entspricht dem MITRE ATT&CK Framework. Sie behandelt die Taktik des Erstzugriffs mit der Technik „Ausnutzung öffentlich erreichbarer Anwendungen“ (T1190). Zusätzlich sind alle Regeln in der SOC Prime Plattform mit CTI-Links, Angriffstimeline, Audit-Konfigurationen und weiteren Metadaten angereichert.
Um neue Detection-Inhalte zur Erkennung von CitrixBleed-2-Exploits zu verfolgen, können Sicherheitsexperten nach dem CVE-2025-5777-Tag im Threat Detection Marketplace suchen oder direkt auf den Button Erkennungsregeln Durchsuchen unten klicken.
Wer sich für die vollständige Sammlung an Regeln und Abfragen zur Ausnutzung von Schwachstellen interessiert, kann in unserer umfangreichen Sigma-Bibliothek mit einem dedizierten CVE-Tag stöbern.
Sicherheitsingenieure können außerdem Uncoder AI nutzen – eine private, agentenfreie KI, speziell für Threat-Informed Detection Engineering entwickelt. Mit Uncoder lassen sich IOCs automatisch in nutzbare Hunting Queries umwandeln, Detection-Regeln aus Threat Reports ableiten, ATT&CK-Tags prognostizieren, Abfragen KI-gestützt optimieren und detection content zwischen Plattformen konvertieren.
Analyse zu CVE-2025-5777
Mit CVE-2025-5777 erweitert sich die Liste kritischer Zero-Day-Schwachstellen in Citrix NetScaler. Aufgrund ihrer Ähnlichkeit zur CVE-2023-4966 (CitrixBleed) wird sie als „CitrixBleed 2“ bezeichnet. CVE-2023-4966 wurde selbst nach der Bereitstellung eines Patches im Oktober 2023 weiterhin aktiv ausgenutzt.
CVE-2025-5777 hat einen CVSS-Score von 9,3 und basiert auf unzureichender Eingabevalidierung, die zu einem Speicherüberlesefehler führt. Ähnlich wie sein Vorgänger nutzt CitrixBleed 2 Out-of-Bounds-Speicherlesevorgänge, um Authentifizierungsdaten – insbesondere Session-Tokens – direkt aus dem Speicher zu extrahieren. Diese gestohlenen Tokens können MFA umgehen und aktive Benutzersitzungen kapern. Voraussetzung für einen erfolgreichen Exploit ist, dass das Appliance als Gateway (z. B. VPN-Virtual Server, ICA Proxy, CVPN, RDP Proxy) oder als AAA-Virtual Server konfiguriert ist.
Beide Schwachstellen ermöglichen eine Umgehung der Authentifizierung und Übernahme von Sitzungen. CitrixBleed 2 konzentriert sich jedoch auf Session-Tokens statt Session-Cookies. Tokens unterstützen häufig persistente Authentifizierungsmechanismen wie API-Interaktionen oder langlebige App-Sitzungen. Dadurch kann ein Angreifer längerfristigen, schwer erkennbaren Zugriff auf Systeme erlangen – selbst nach dem Schließen des Browsers durch den Nutzer.
Obwohl anfangs behauptet wurde, CVE-2025-5777 betreffe das Verwaltungsinterface, wurde diese Aussage später aus der NIST-CVE-Datenbank entfernt. Dennoch stellten ReliaQuest-Forscher Anzeichen für Ausnutzung in freier Wildbahn fest – darunter Sitzungsübernahmen, IP-Adressen von Consumer-VPNs und Tools zur AD-Erkundung.
Die Schwachstelle betrifft folgende unterstützte Versionen von NetScaler ADC und Gateway: 14.1 vor 14.1-43.56, 13.1 vor 13.1-58.32, 13.1-FIPS/NDcPP vor 13.1-37.235 und 12.1-FIPS vor 12.1-55.328. Die Versionen 12.1 und 13.0 sind End-of-Life und bleiben verwundbar. Citrix empfiehlt dringend, auf gepatchte Versionen zu aktualisieren. Zudem sollten Administratoren nach dem Update aller Appliances in einem HA-Cluster alle aktiven ICA- und PCoIP-Sitzungen beenden, um potenziell kompromittierte Sessions zu schließen.
Mit über 69.000 öffentlich erreichbaren NetScaler-Gateway- und ADC-Instanzen steigt das Risiko einer Ausnutzung. Es bleibt jedoch unklar, wie viele davon tatsächlich verwundbar sind. Auch wenn einige Anbieter keine Ausnutzung bestätigt haben, rechnet die Sicherheits-Community mit einem baldigen Missbrauch von CitrixBleed 2. Um Exploits proaktiv zu erkennen, können Sicherheitsteams auf das komplette Produktportfolio von SOC Prime setzen – unterstützt durch KI, Automatisierung und Echtzeit-Threat-Intelligence.