Citrix Archive – Deyda.net

Checkliste für NetScaler (Citrix ADC) CVE-2025-5777 & CVE-2025-6543

Am 17. Juni 2025 veröffentlichte Citrix eine Sicherheitsmeldung zu CVE-2025-5777, gefolgt von CVE-2025-6543 am 25. Juni 2025. Beide Schwachstellen gelten als kritisch und werden aktiv ausgenutzt..

Die Bedrohungslage

CVE-2025-5777: Kritische Schwachstelle durch unzureichende Eingabevalidierung → führt zu Memory Overread

CVE-2025-6543: Ermöglicht Memory Overflow, was zu DoS oder Codeausführung führen kann → Exploits vorhanden !

⚠️ Wichtig: Ein Update allein reicht nicht aus. Alle aktiven ICA- und PCoIP-Sitzungen müssen manuell beendet werden, um die Sicherheitslücke vollständig zu schließen.

New Microsoft Teams (Version 2) in Citrix installieren

Die New Teams Version (Manchmal auch Teams 2.0 genannt) wird ab 1 Juli 2024 der neue Standard für die Kommunikationsplattform von Microsoft. Am 1 Oktober 2024 erreicht der Classical Teams Client im VDI Kontext sein End of Support und nach neusten Nachrichten am 1 Juli 2025 sein End of availability Date. Diese Abschlussdaten wurden die letzten Wochen mehrfach angepasst.

Web Authentication Action im NetScaler

Bei einem meiner letzten Einsätze musste ich einen externen Zugriff mittels NetScaler auf eine Intern gehostete Web-Anwendung (Grafana) einrichten.

Grafana ist eine plattformübergreifende Open Source-Anwendung zur grafischen Darstellung von Daten aus verschiedenen Datenquellen wie z.B. InfluxDB, MySQL, PostgreeSQL, Prometheus und Graphite.

Die Herausforderung dabei war, dass der Kunde eine Authentifizierung am NetScaler vorschalten wollte, die User allerdings nur der Web-Anwendung selbst bekannt sind.

Die Frage, die sich mir daher stellte, war:
Wie kann ich den User der Web-Anwendung überprüfen, wenn nur die Web-Anwendung selbst Zugriff auf die Userdaten hat?

Ich hatte bisher nur Standards wie LDAP, RADIUS, CERT, SAML usw. genutzt für eine User-Authentifizierung am NetScaler, aber diese waren hier nicht Zielführend da das Zielsystem nicht verändert werden sollte.

Citrix ADC 101 – Grundlagen

Folgend eine Sammlung an Grundlegenden Informationen über den Citrix ADC. Von der Lizensierung, über die wichtigsten Befehle bis zu den Update Verfahren die man durchführen kann.

Allgemeine Informationen

Folgend erstmal einige Grundlegende Informationen zum Citrix ADC.

Betriebssystem und Architektur

Citrix ADC basiert auf dem Open-Source Betriebssystem FreeBSD. Im Gegensatz zu dem sehr ähnlichen Linux hat FreeBSD einen modularen Kernel und Citrix hat dies genutzt um die Bash Shell von FreeBSD zu modifizieren, indem das Netzwerk Subsystem entfernt und durch das eigene ersetzt wurde. Die Modifikationen wurden in einem benutzerdefinierten Kernelmodul namens NetScaler Core Packet Processing Engine (PPE) untergebracht.

Warum sollte ein Windows Server 2019 VDI Hybrid Azure AD joined sein

Was ist Hybrid Azure AD Join ?

Beginnen wir einfach mit der offiziellen Definition aus der Microsoft Dokumentation:

Hybrid Azure AD Join: Joined to on-premises AD and Azure AD requiring an organizational account to sign in to the device.

Dies bedeutet, dass sich das Gerät, nachdem es Hybrid Azure AD Joined wurde, genauso verhält wie jeder andere Computer, der mit Active Directory verbunden ist.

Man muss sich mit einem Active Directory-Konto anmelden.
Die Benutzeranmeldeinformationen werden mit einem Active Directory-Domänencontroller abgeglichen.
Gruppenrichtlinienobjekte für Benutzer & Computer, die vom Domänencontroller gelesen werden) werden automatisch angewendet.

Nachdem der Active Directory Verbindungsprozess abgeschlossen ist, werden zusätzliche Schritte im Hintergrund asynchron durchgeführt, um das Gerät auch in Azure AD zu registrieren.