Citrix NetScaler: Kritische Sicherheitslücke wird bereits aktiv ausgenutzt

Unternehmen weltweit müssen ihre Citrix NetScaler-Systeme sofort aktualisieren. Eine kritische Schwachstelle wird bereits aktiv von Angreifern ausgenutzt und gefährdet Unternehmensnetzwerke.

Die Sicherheitslücke mit der Kennung CVE-2026-3055 ermöglicht es Angreifern, ungeschützte NetScaler-Appliance aus der Ferne anzugreifen und sensible Daten aus dem Speicher zu lesen. Betroffen sind die Produkte NetScaler Application Delivery Controller (ADC) und NetScaler Gateway. Citrix hatte die Schwachstelle am 23. März 2026 bekannt gegeben. Bereits am 27. März begannen erste Ausnutzungsversuche – ein alarmierend schneller Übergang von der Entdeckung zum aktiven Angriff.

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen. Ein kostenloser Report zeigt, wie Kriminelle vorgehen und wie Sie Ihre IT-Infrastruktur effektiv schützen. Experten-Guide zur Hacker-Abwehr jetzt kostenlos herunterladen

Was die kritische Lücke CVE-2026-3055 so gefährlich macht

Die Schwachstelle wird mit einem kritischen CVSS-Score von 9,3 bewertet. Sie ist ein sogenannter "Out-of-Bounds-Read"-Fehler, der durch unzureichende Eingabevalidierung entsteht. Konkret kann ein Angreifer ohne Authentifizierung an vertrauliche Informationen im Speicher der Appliance gelangen.

Das Brisante: Die Lücke ist nur ausnutzbar, wenn die NetScaler-Appliance als SAML Identity Provider (IdP) konfiguriert ist – eine häufige Konfiguration in Unternehmensnetzwerken. Gelingt der Angriff, können aktive Sitzungstoken gestohlen werden. Diese ermöglichen es Cyberkriminellen, sich in laufende Benutzersitzungen einzuklinken und unbefugt Zugang zu internen Ressourcen zu erlangen.

Die Zeit drängt: Angriffe laufen bereits

Sicherheitsforscher des Unternehmens watchTowr beobachteten erste Erkundungsaktivitäten gegen verwundbare Systeme bereits am 28. März. Bis zum 30. März bestätigten sie aktive Ausnutzungsversuche. Die Angreifer nutzten dabei Infrastruktur, die bereits mit bekannten Bedrohungsakteuren in Verbindung gebracht wurde.

Die Ausnutzung der Lücke ist vergleichsweise einfach: Ein einfacher Netzwerkrequest mit einem speziellen, leeren Parameter kann die Appliance dazu bringen, sensible Speicherinhalte preiszugeben. Dies erinnert an frühere, verheerende Schwachstellen wie "CitrixBleed" (CVE-2023-4966), die zu massenhaften Datendiebstählen und Ransomware-Angriffen führten. Experten befürchten einen ähnlichen Verlauf.

Zweite Schwachstelle: CVE-2026-4368 als zusätzliches Risiko

Parallel zur kritischen Lücke veröffentlichte Citrix eine weitere Sicherheitswarnung für eine Hochrisiko-Schwachstelle: CVE-2026-4368. Diese "Race-Condition"-Lücke (Wettlaufsituation) mit einem CVSS-Score von 7,7 betrifft NetScaler ADC und NetScaler Gateway, wenn sie als Gateway (z.B. SSL-VPN) oder AAA-Server konfiguriert sind.

Sie kann dazu führen, dass Benutzersitzungen durcheinander geraten. Eine authentifizierte Sitzung könnte fälschlicherweise dem Kontext eines anderen Benutzers zugeordnet werden – was ebenfalls zu unbefugtom Zugriff führen kann.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, ist angesichts der aktuellen Bedrohungslage durch kritische Sicherheitslücken alarmierend. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihr Unternehmen mit einfachen Maßnahmen proaktiv schützen. Cyber-Security-Report 2024 kostenlos anfordern

Betroffene Versionen und dringende Handlungsempfehlungen

Von der kritischen Lücke CVE-2026-3055 sind folgende Versionen betroffen:
* Versionen 14.1 vor 14.1-66.59
* Versionen 13.1 vor 13.1-62.23
* NetScaler ADC FIPS und NDcPP vor 13.1-37.262

Cloud Software Group (Citrix) hat am 23. März entsprechende Patches veröffentlicht. Die empfohlenen, gepatchten Versionen sind 14.1-66.59, 13.1-62.23 und 13.1-NDcPP 13.1-37.262. Wichtig: Nur kundenseitig verwaltete On-Premises-Installationen sind betroffen. Citrix-verwaltete Cloud-Dienste wurden automatisch aktualisiert.

Die dringende Empfehlung lautet:
1. Sofortiges Patchen: Aktualisieren Sie betroffene Systeme im Notfallmodus auf die gepatchten Versionen.
2. Temporäre Abschaltung: Falls ein sofortiges Patchen nicht möglich ist, sollte die SAML IdP-Funktionalität vorübergehend deaktiviert werden.
3. Sitzungen beenden: Nach dem Patchen müssen alle aktiven und persistenten Sitzungen beendet werden, um die Wiederverwendung gestohlener Tokens zu verhindern.

Unternehmen sollten ihre genauen Build-Versionen überprüfen und das offizielle Citrix-Sicherheitsbulletin (CTX696300) konsultieren.

Immer im Visier: Warum NetScaler-Geräte so attraktiv für Angreifer sind

Die erneute, schnelle Ausnutzung einer Citrix-Schwachstelle unterstreicht die anhaltende Bedrohungslage für kritische Infrastruktur. NetScaler-Geräte sind bei Cyberkriminellen besonders beliebt, weil sie oft internetorientiert sind und den sicheren Zugang zu Unternehmensanwendungen und -daten steuern.

Sicherheitsbehörden wie CERT-EU und das britische National Cyber Security Centre (NCSC) haben bereits Warnungen herausgegeben. Die fortgesetzte Fokussierung auf Speicherlese-Schwachstellen in Edge-Geräten bleibt eine der größten Sorgen für IT-Sicherheitsverantwortliche.

Die Lehre ist klar: Neben schnellem Patchen müssen Unternehmen ihre Überwachungsfähigkeiten verstärken, um Anzeichen einer Kompromittierung frühzeitig zu erkennen. Eine proaktive Sicherheitsstrategie mit regelmäßigen Schwachstellenanalysen und aktualisierten Incident-Response-Plänen ist in diesem andauernden Wettlauf unverzichtbar.

boerse | 69035632 |