Niederländische Behörden durch ausgenutzte Citrix-NetScaler-Sicherheitslücke kompromittiert

Niederländische Behörden durch ausgenutzte Citrix-NetScaler-Sicherheitslücke kompromittiert

Das niederländische Nationale Zentrum für Cybersicherheit (NCSC) bestätigte, dass Angreifer eine Citrix NetScaler Zero-Day-Sicherheitslücke (CVE-2025-6543) ausnutzten, um in mehrere kritische Organisationen einzudringen. Diese Angriffe erfolgten unbemerkt, wobei die Bedrohungsakteure ihre Spuren entfernten.

Zur Sicherheitslücke

CVE-2025-6543 resultiert aus einem Speicherüberlauf-Fehler in NetScaler ADC- und NetScaler Gateway-Geräten. Wenn diese als Gateway (wie VPN, ICA Proxy, CVPN oder RDP Proxy) oder AAA Virtual Server konfiguriert sind, ermöglicht dieser Fehler einen unbeabsichtigten Kontrollfluss oder löst Denial-of-Service-Zustände aus.

Citrix bestätigte, dass diese Zero-Day-Sicherheitslücke bereits ausgenutzt wurde, bevor ein Patch veröffentlicht wurde. Laut Berichten des NCSC nutzten die Angreifer die Schwachstelle seit mindestens Anfang Mai, lange bevor Citrix am 25. Juni 2025 seine Sicherheitsempfehlung veröffentlichte.

Auswirkungen in den Niederlanden

Das NCSC warnte, dass mehrere kritische niederländische Organisationen über diese Schwachstelle erfolgreich kompromittiert wurden und die Eindringlinge Protokolle löschten, um ihre Aktivitäten zu verbergen.

Eine der betroffenen Einrichtungen, die Staatsanwaltschaft (Openbaar Ministerie), gab an, nach Erhalt der Warnung des NCSC erhebliche Störungen erlitten zu haben und Mitte Juli mit der Wiederherstellung des Betriebs begonnen zu haben.

Empfohlene Maßnahmen und Abhilfen

Citrix veröffentlichte am 25. Juni Patches für betroffene Versionen:

PlattformversionPatch verfügbar ab
14.114.1-47.46 und neuer
13.113.1-59.19 und neuer
13.1-FIPS / NDcPP13.1-37.236 und neuer (über Support)

Die Versionen 12.1 und 13.0 werden nicht mehr unterstützt, bleiben jedoch verwundbar und müssen aktualisiert werden.

Nach Installation des Patches sollten Administratoren aktive Sitzungen mit Befehlen wie diesen beenden:

pgsqlCopyEditkill icaconnection -all  
kill pcoipConnection -all  
kill aaa session -all  
kill rdp connection -all  
clear lb persistentSessions

Diese Schritte helfen, Lücken zu schließen, die von Angreifern übernommene Sitzungen hinterlassen haben könnten.

Zusätzliche Gefahr: Webshell-Installation

Sicherheitsforscher entdeckten außerdem, dass Angreifer CVE-2025-6543 nutzen, um Webshells zu installieren und so dauerhaften Zugriff auf betroffene Geräte zu erhalten.

Fazit

Die Citrix NetScaler Zero-Day-Sicherheitslücke (CVE-2025-6543) ermöglichte es Angreifern, kritische niederländische Institutionen zu infiltrieren, bevor ein Patch verfügbar war. Nutzer müssen verwundbare Systeme aktualisieren, aktive Sitzungen beenden und nach Webshells scannen, um ihre Netzwerke vor diesen verdeckten Angriffen zu schützen.

Siyana Georgieva

0 Kommentare zu „Niederländische Behörden durch ausgenutzte Citrix-NetScaler-Sicherheitslücke kompromittiert“