Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Rund 30.000 Instanzen am Netz: Citrix-Systeme werden attackiert

Eine kritische Sicherheitslücke gefährdet unzählige Citrix -Netscaler-Instanzen. Angreifer nutzen sie bereits aus. Es droht eine vollständige Kompromittierung.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Admins sollten zügig ihre Citrix-Systeme patchen. (Bild: Justin Sullivan/Getty Images)
Admins sollten zügig ihre Citrix-Systeme patchen. Bild: Justin Sullivan/Getty Images

Das Softwareunternehmen Citrix hatte erst vor wenigen Tagen vor einer kritischen Sicherheitslücke in seinen Netscaler-Produkten gewarnt. Wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, scheinen Angreifer mittlerweile einen Weg gefunden zu haben, diese Lücke auszunutzen. Administratoren sollten zügig die verfügbaren Patches einspielen, da sonst eine vollständige Kompromittierung droht.

Die besagte Sicherheitslücke ist als CVE-2026-3055(öffnet im neuen Fenster) registriert und verfügt über einen CVSS-Wert von 9,3 (kritisch). Ursache ist eine unzureichende Eingabevalidierung in Citrix Netscaler ADC und Netscaler Gateway. Das Problem besteht laut Hersteller(öffnet im neuen Fenster) aber nur, wenn anfällige Instanzen als SAML Identity Provider konfiguriert sind.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Service Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)
Sachgebietsleitung Digitale Geodaten (m/w/d), Abt. Vermessung und Flurneuordnung Landkreis Tübingen, Tübingen (öffnet im neuen Fenster)
Werkstudent im Bereich Datenanalyse und Programmierung (m/w/d) Saar-Metallwerke GmbH, Saarbrücken (öffnet im neuen Fenster)
IT System Administrator NDL (m/w/d) HIL Heeresinstandsetzungslogistik GmbH, Dornstadt (öffnet im neuen Fenster)
W2-Professur (m/w/d) Qualitätssicherung KI-gestützt (Schwerpunkt: Pharma) Hochschule Albstadt-Sigmaringen, Sigmaringen (öffnet im neuen Fenster)
Bachelorand/Masterand - Memory- und Storage-Lösungen in Serversystemen (w/m/d) SEW-EURODRIVE GmbH & Co KG, Bruchsal (öffnet im neuen Fenster)
Junior Developer (m/w/d) itsc GmbH, Hannover (öffnet im neuen Fenster)
IT Consultant ERP System iTWO (m/w/d) DETLEF HEGEMANN Verwaltungs- und Beteiligungs GmbH, Bremen (öffnet im neuen Fenster)

Sicherheitsforscher von Watchtowr stellten wenige Tage nach Veröffentlichung der Sicherheitswarnung von Citrix erste Ausnutzungsversuche auf ihren Honeypot-Systemen fest. Die Angriffe laufen laut Blogbeitrag der Forscher(öffnet im neuen Fenster) mindestens seit dem 27. März. Angreifer versuchen dabei, administrative Session-IDs abzugreifen und die anfälligen Systeme vollständig zu übernehmen.

Zwei Lücken in einer

Laut Watchtowr verbergen sich hinter CVE-2026-3055 genau genommen sogar zwei Schwachstellen. In beiden Fällen können Angreifer Speicherinhalte außerhalb vorgegebener Grenzen lesen. Eine der Schwachstellen betrifft den SAML-Authentifizierungsendpunkt "/saml/login" , die andere den WS-Federation-Endpunkt "/wsfed/passive" . Letzterer wird im bereits genannten Blogbeitrag näher untersucht, der SAML-Endpunkt hingegen in einer früheren Analyse der Forscher(öffnet im neuen Fenster) .

Citrix ergänzte in seiner Sicherheitsmeldung bisher noch keinen Hinweis auf die aktive Ausnutzung. Der Hersteller veröffentlichte jedoch Patches. Als geschützt gelten Citrix Netscaler ADC und Netscaler Gateway ab den Versionen 14.1-60.58 und 13.1-62.23. Netscaler ADC 13.1-FIPS und 13.1-NDcPP wurden mit Version 13.1.37.262 gepatcht.

Weltweit hängen laut Scans der Shadowserver Foundation aktuell mehr als 29.000 Netscaler-Instanzen(öffnet im neuen Fenster) und knapp 2.300 Citrix-Gateways(öffnet im neuen Fenster) am Netz. Wie viele davon anfällig für CVE-2026-3055 sind, ist allerdings unklar. Ob sich aus der Lücke ähnlich weitreichende Cybervorfälle ergeben wie einst aus Citrix Bleed bleibt abzuwarten .

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeUpdates & PatchesCybercrimeWirtschaftUnternehmenDatensicherheit