>_AYSOLI
All advisories
CRITICAL 2026-03-24

Kritische Citrix NetScaler Lücken – Datenlecks & Sitzungs-Vertauschung (CVE-2026-3055/4368)

Zwei schwerwiegende Schwachstellen in Citrix NetScaler ADC/Gateway ermöglichen das Auslesen sensibler Speicherdaten (Tokens/Keys) sowie die Vertauschung von Nutzersitzungen. Betroffen sind KMU in CH/FL, die Citrix für Fernzugriffe (VDI) nutzen.

Was ist passiert?

Die aktuelle Bedrohungslage für Citrix-Infrastrukturen wird durch zwei technisch unterschiedliche, aber in der Kombination verheerende Fehler bestimmt:
  • CVE-2026-3055 (CVSS 9.3): Ein kritischer Speicherfehler (Buffer Over-read). Durch eine ungenügende Eingabevalidierung kann ein Angreifer den NetScaler dazu bringen, mehr Daten aus dem Arbeitsspeicher zu lesen, als vorgesehen. Dies führt zum Abfluss von Systemgeheimnissen, SSL-Keys oder Session-Tokens anderer Nutzer – eine ideale Vorstufe für vollständige Systemübernahmen.
  • CVE-2026-4368 (CVSS 7.7): Eine sogenannte "Race Condition" (Wettlaufsituation). Bei hoher Last oder spezifischem Timing kann es vorkommen, dass der NetScaler Nutzersitzungen intern vertauscht. Ein Benutzer meldet sich an und landet plötzlich in der aktiven Sitzung eines anderen Benutzers (z. B. eines Administrators) – ein massives Risiko für die Datentrennung und Compliance.

Wen betrifft es?

Alle Organisationen in Liechtenstein und der Schweiz, die Citrix NetScaler ADC oder Gateway einsetzen, insbesondere:
  • NetScaler ADC / Gateway 14.1 (vor Build 14.1-47.55)
  • NetScaler ADC / Gateway 13.1 (vor Build 13.1-59.30)
  • Treuhand- & Finanzwesen: Unternehmen, die strikte Mandantentrennung garantieren müssen.
  • Kritisch: Organisationen, die noch die Versionen 12.1 oder 13.0 (End-of-Life) betreiben, da für diese keine Sicherheitsupdates mehr erscheinen.
Besonders exponiert sind Umgebungen mit hohen Login-Zahlen am Morgen oder Schichtwechseln, da hier das Risiko der Sitzungs-Vertauschung (Race Condition) technisch bedingt am höchsten ist.

Was ist zu tun?

  • 1.Sofort – Patch-Management: Das Update auf die Versionen 14.1-47.55 oder 13.1-59.30 ist aufgrund des CVSS-Scores von 9.3 zwingend und sollte innerhalb von 24 Stunden erfolgen.
  • 2.Aktive Sitzungen terminieren: Da durch die Speicherlücke bereits Tokens abgeflossen sein könnten, müssen nach dem Patch alle aktiven Verbindungen getrennt werden, um potenzielle "Hijacker" auszuschliessen:
  • Befehl via CLI: kill icaconnection -all
  • 3.Logging & Forensik: Prüfen Sie die Syslogs auf ungewöhnliche "Segmentation Faults" oder Neustarts der nsppe-Prozesse. Das BACS (CH) und CSIRT.li melden für diese Woche verstärkte Scans auf Port 443 in den Landesnetzen.
  • 4.Netzwerk-Isolation: Stellen Sie sicher, dass die Management-Schnittstelle (NSIP) des NetScalers nicht aus dem öffentlichen Internet erreichbar ist.
  • 5.MFA-Review: Überprüfen Sie, ob Multi-Faktor-Authentifizierung (MFA) flächendeckend aktiv ist, um das Risiko durch potenziell gestohlene Session-Tokens zu minimieren.
Dieses Advisory dient der Information. Für Unterstützung bei der Absicherung deiner Citrix-Infrastruktur kontaktiere uns.