26. August 2025
Beschreibung
Citrix hat ein Advisory zu mehreren, zum Teil kritischen,
Schwachstellen in den Produkten NetScaler ADC (ehemals Citrix ADC) und
NetScaler Gateway (ehemals Citrix Gateway) veröffentlicht.
Laut Citrix wurden bereits Angriffsversuche gegen verwundbare Systeme
beobachtet, welche zumindest die kritische Schwachstelle CVE-2025-7775
auszunutzen versuchten.
CVE-Nummern(n): CVE-2025-7775, CVE-2025-7776, CVE-2025-8424
CVSS v4.0 Base Score(s): 9.2, 8.8, 8.7
Auswirkungen
Die Schwachstellen erlauben neben der entfernten Ausführung von Code
(CVE-2025-7775), das auslösen eines Denial of Service (DoS),
beziehungsweise das hervorrufen undefinierten und fehlerhafter Zustände
(CVE-2025-7776). Darüber hinaus nutzt CVE-2025-8424 eine unsachgemäße
Zugriffskontrolle gegen die Netscaler Management-Oberfläche aus.
Betroffene Systeme
* NetScaler ADC und NetScaler Gateway 14.1 unter 14.1-47.48
* NetScaler ADC und NetScaler Gateway 13.1 unter 13.1-59.22
* NetScaler ADC 13.1-FIPS und NDcPP unter 13.1-37.241-FIPS und NDcPP
* NetScaler ADC 12.1-FIPS und NDcPP unter 12.1-55.330-FIPS und NDcPP
Abhilfe
Citrix stellt für sämtliche betroffenen Softwarekomponenten Updates zur
Verfügung, und weist explizit darauf hin, dass die NetScaler ADC und
NetScaler Gateway Versionen 12.1 und 13.0 obsolet sind und nicht mehr
unterstützt werden. Ein Update auf unterstützte Versionen, welche die
Schwachstellen beheben, wird empfohlen.
Neben detaillierten Vorgehensweisen um die eigenen Systeme auf
Verwundbarkeit bezüglich CVE-2025-775 und CVE-2025-7776, weist Citrix
darauf hin, dass keine Workarounds zur Mitigation dieser Lücken
existieren.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
NetScaler ADC and NetScaler Gateway Security Bulletin for
CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424 (Englisch):
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX6…
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
Beschreibung
SonicWall berichtet über eine deutliche Zunahme von
Sicherheitsvorfällen in den letzten 96 Stunden, die Gen 7 SonicWall
Firewalls mit aktiviertem SSLVPN betreffen. Die Bedrohungsaktivität
wurde sowohl intern als auch von externen Organisationen und
Unternehmen wie Arctic Wolf, Google Mandiant und Huntress gemeldet. Es
ist noch nicht geklärt, ob die Vorfälle mit einer bereits bekannten
Schwachstelle in Verbindung stehen oder ob eine neue Schwachstelle
verantwortlich ist.
CVE-Nummer(n): Noch nicht zugewiesen (Untersuchung läuft)
CVSS Base Score: Noch nicht bewertet
Auswirkungen
Die genauen Auswirkungen sind noch Gegenstand der Untersuchung.
Betroffen sind Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN. Die
Bedrohungsaktivität könnte zu unbefugtem Zugriff auf
Netzwerkinfrastruktur führen.
Betroffene Systeme
* SonicWall Gen 7 Firewalls mit aktiviertem SSLVPN
Abhilfe
Die Untersuchung der Vorfälle ist noch nicht abgeschlossen und genaue
technische Details liegen noch nicht vor. Für den Moment empfiehlt
SonicWall dringend folgende Maßnahmen:
Primäre Maßnahme:
* SSLVPN-Dienste deaktivieren (wo praktikabel)
Zusätzliche Schutzmaßnahmen (auch bei deaktiviertem SSLVPN):
* SSLVPN-Konnektivität auf vertrauenswürdige Quell-IPs beschränken
* Sicherheitsdienste aktivieren: Botnet-Schutz und Geo-IP-Filterung
einschalten
* Multi-Faktor-Authentifizierung (MFA) durchsetzen für alle
Remote-Zugriffe
+ Hinweis: Einige Berichte deuten darauf hin, dass MFA allein
möglicherweise nicht vor der untersuchten Aktivität schützt
* Ungenutzte Benutzerkonten entfernen: Inaktive oder ungenutzte
lokale Benutzerkonten auf der Firewall löschen, insbesondere solche
mit SSLVPN-Zugriff
Hinweis
SonicWall arbeitet eng mit internationale Partner:innen zusammen und
wird Partner:innen und Kund:innen kontinuierlich über den Fortschritt
der Untersuchung informieren. Sobald wir weitere Informationen erhalten
werden wir diese Warnung schnellstmöglich aktualisieren und / oder
erweitern.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
SonicWall Security Advisory (Englisch):
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-…