Direkt zum Inhalt
Sie haben noch keinen Account? Jetzt registrieren
  • umfangreiche Warnmeldungen
  • zusätzliche Funktionen
  • persönliche Benachrichtigungen
Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Opfer eines Cyberangriffes geworden?

0711-137-99999 cyberersthilfe(a)cybersicherheit.bwl.de Kontaktieren Sie uns

Update: Schwachstellen in zwei Citrix-Produkten

- Sicherheitshinweis

Citrix schließt zwei Sicherheitslücken, darunter eine kritische, in seinen Produkten NetScaler ADC und NetScaler Gateway. Betreibende sollten die zur Verfügung gestellten Patches zeitnah installieren.
Haus mit Citrix-Schriftzug

© JHVEPhoto - stock.adobe.com

Die Warnmeldung wurde am 31. März 2026 aufgrund weiterführender Informationen aktualisiert. 

Erfolgreiche Ausnutzung: höhere Kompromittierungswahrscheinlichkeit

Folgende Versionen der Citrix-Produkte NetScaler ADC und NetScaler Gateway sind von der Sicherheitslücke CVE-2026-3055 betroffen:

  • 14.1 vor 14.1-60.58
  • 13.1 vor 13.1-62.23
  • FIPS und NDcPP vor 13.1-37.262

Eine Ausnutzung ist jedoch nur möglich, wenn die Produkte on-prem betrieben werden und wenn sie als SAML Identity Provider (SAML IDP) konfiguriert sind. Dies ist jedoch nicht die Standardkonfiguration. Über CVE-2026-3055 (EUVD-2026-14546) können nicht authentifizierte Angreifende sensible Informationen aus dem Speicher auslesen. CVSS-Base-Score: 9.3/10. Vergleichbare Sicherheitslücken führten im vergangenen Jahr zu breiten Angriffen.

Von der Sicherheitslücke CVE-2026-4368 ist nur die Version 14.1-66.54 der genannten Produkte betroffen, sofern sie als Gateway (VPN Vserver, ICA Proxy, CVPN, RDP Proxy) oder als AAA Virtual Server betrieben werden. Durch CVE-2026-4368 (EUVD-2026-14547) können authentifizierte Angreifende auf die Session eines anderen Users zugreifen. CVSS-Base-Score: 7.7/10.

Die Schwachstelle CVE-2026-3055 wurde spätestens am 27. März 2026 erstmals aktiv und erfolgreich ausgenutzt.

Dies berichten das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Hersteller und verschiedene Medien.

Die Produkte hießen früher Citrix ADC bzw. Citrix Gateway. Citrix Systems ist ein US-amerikanisches Software-Unternehmen. Der Hauptsitz ist in Fort Lauderdale im US-Bundesstaat Florida.

Empfehlungen

Beachten Sie folgende Empfehlungen des BSI, des Herstellers und von watchtowr:

  • Installieren Sie umgehend und je nach Konfiguration das entsprechende verfügbare Patch:
    • NetScaler ADC und NetScaler Gateway 14.1-66.59 oder höher
    • NetScaler ADC und NetScaler Gateway 13.1-62.23 oder höher
    • NetScaler ADC FIPS und NDcPP 13.1-37.262 oder höher
  • Wenn eine Aktualisierung nicht möglich ist, schränken Sie die Erreichbarkeit der Produkte aus dem Internet ein. Auch der Einsatz einer WAF (Web Application Firewall) kann sinnvoll sein.
  • Prüfen Sie anhand der Hinweise von watchtowr Ihre Systeme auf Auffälligkeiten.
  • Beachten Sie die allgemeinen Empfehlungen des BSI für die sichere Verwendung von Application Delivery Controllern (ADC) (siehe Link unten).
  • Beachten Sie die Best Practices des Herstellers für die Einrichtung von NetScaler ADC (siehe Link unten).

Weitere Informationen