NetScaler Gateway Archive

Checkliste für NetScaler (Citrix ADC) CVE-2025-5777 & CVE-2025-6543

Am 17. Juni 2025 veröffentlichte Citrix eine Sicherheitsmeldung zu CVE-2025-5777, gefolgt von CVE-2025-6543 am 25. Juni 2025. Beide Schwachstellen gelten als kritisch und werden aktiv ausgenutzt..

Die Bedrohungslage

CVE-2025-5777: Kritische Schwachstelle durch unzureichende Eingabevalidierung → führt zu Memory Overread

CVE-2025-6543: Ermöglicht Memory Overflow, was zu DoS oder Codeausführung führen kann → Exploits vorhanden !

⚠️ Wichtig: Ein Update allein reicht nicht aus. Alle aktiven ICA- und PCoIP-Sitzungen müssen manuell beendet werden, um die Sicherheitslücke vollständig zu schließen.

Checkliste für NetScaler (Citrix ADC) CVE-2023-4966

Citrix hat vor einiger Zeit (10.10.2023) eine Warnung über eine kritische Sicherheitslücke (CVE-2023-4966) in allen NetScaler (Citrix ADC) & Gateway Systemen veröffentlicht. Es sind mehrere funktionierende Exploits veröffentlicht.

Hier ist zu beachten, das ein reines updaten der Systeme nicht ausreicht. Es müssen auch noch die Connection Tokens zurückgesetzt werden.

Wichtig ! Es gibt keine Patches für NetScaler (Citrix ADC) Version 12.1 oder älter. Diese Systeme haben ihr EOL erreicht und werden daher nicht mehr mit dem nötigen Fix bestückt. In diesem Fall bitte ein Update auf die neuste 13.0, 13.1 oder 14.1 Version durchführen.

Die Sicherheitslücke ermöglichen eine anonyme Ausführung von Remotecode und dadurch nicht authentifizierten Angreifern verschiedene Maschinen mit Root Rechten zu übernehmen.

SAML Authentifizierung zwischen Citrix & Microsoft mit Azure MFA

Aktualisierung auf die neuste Cloud Navigation.

Als Folge der zunehmenden Projekte gibt es hier ein kleines How To mit den folgenden Punkten:

Azure AD Seamless Single Sign-On (PTA / PHS)
SAML Authentifizierung (Azure AD als IdP & NetScaler Gateway als SP)
Citrix Federated Authentication Service (FAS)
Microsoft Azure Multi-Factor-Authentication mit Conditional Access

Voraussetzungen

Voll funktionsfähige Citrix Virtual Apps and Desktop Umgebung (Mindestens StoreFront & DDC Version 7.9)
NetScaler (Citrix ADC) mit funktionsfähiger Basiskonfiguration & aktivierter Enterprise oder Platinum Lizenz (Minimum Version 12.1 Build 50+ für native Workspace App & für Browser Zugriff Minimum Version 11.1)
Konfigurierter Unified Gateway vServer
Interne und externe DNS Einträge für Unified Gateway vServer (z.B. citrix.deyda.net)
Zertifikate für DNS Einträge (am einfachsten sind Wildcard-Zertifikate)
Bestehender Azure Tenant mit Azure-AD Basiskonfiguration (Domain, AAD Sync) & aktivierter Azure AD Premium-Lizenz
Installierte & Konfigurierte AD Connect Version (Minimum Version 1.1.644.0)
Firewall Freigabe für *.msappproxy.net auf Port 443
Domänen Administrator Zugangsdaten für die Domänen, die sich über Azure Connect mit Azure AD verbinden
Installierte Authenticator App auf dem Test User Mobilgerät

Checkliste für NetScaler (Citrix ADC) CVE-2023-3519

Citrix hat gestern (18.07.2023) eine Warnung über eine kritische Sicherheitslücke (CVE-2023-3519) in allen NetScaler (Citrix ADC) & Gateway Systemen veröffentlicht. Bis heute sind keine funktionierenden Exploits veröffentlicht.

Wichtig ! Es gibt keine Patches für NetScaler (Citrix ADC) Version 12.1 oder älter. Diese Systeme haben ihr EOL erreicht und werden daher nicht mehr mit dem nötigen Fix bestückt. In diesem Fall bitte ein Update auf die neuste 13.0 oder 13.1 Version durchführen.

Die Sicherheitslücke ermöglichen eine anonyme Ausführung von Remotecode und dadurch nicht authentifizierten Angreifern verschiedene Maschinen mit Root Rechten zu übernehmen.

Wie man aus der Citrix Community hört, werden immer mehr attackierte Systeme aufgefunden. Die ersten Exploits sind auch schon seit einiger Zeit im Dark Web zu kaufen.

Citrix ADC 101 – Grundlagen

Folgend eine Sammlung an Grundlegenden Informationen über den Citrix ADC. Von der Lizensierung, über die wichtigsten Befehle bis zu den Update Verfahren die man durchführen kann.

Allgemeine Informationen

Folgend erstmal einige Grundlegende Informationen zum Citrix ADC.

Betriebssystem und Architektur

Citrix ADC basiert auf dem Open-Source Betriebssystem FreeBSD. Im Gegensatz zu dem sehr ähnlichen Linux hat FreeBSD einen modularen Kernel und Citrix hat dies genutzt um die Bash Shell von FreeBSD zu modifizieren, indem das Netzwerk Subsystem entfernt und durch das eigene ersetzt wurde. Die Modifikationen wurden in einem benutzerdefinierten Kernelmodul namens NetScaler Core Packet Processing Engine (PPE) untergebracht.