Die Hacker waren bereits im Büro: Warum Citrix-Benutzer jetzt handeln müssen

Von Max van der Linden, Senior Sicherheitsspezialist

Stellen Sie sich Ihr Bürogebäude vor. Die Eingangstür hat ein elektronisches Schloss und einen Wachmann am Schalter. Alle Mitarbeiter ziehen ihre Ausweise durch, Besucher checken ein, und alles fühlt sich sicher an.

Doch vor einigen Monaten hat jemand eine Schwachstelle im Schloss der Eingangstür entdeckt. So konnten sie ungehindert das Gebäude betreten und verlassen. Während sie drinnen waren, hatten sie die Möglichkeit, geheime Tunnel zu bauen, die in den Keller führen, ein Seitenfenster im Sicherheitsbüro zu öffnen und vielleicht sogar Mikrofone in den Besprechungsräumen zu platzieren.

Genau das passiert jetzt mit Citrix NetScaler-Geräten.

Der Einbruch

Ihr NetScaler ist die sichere Eingangstür für Mitarbeiter, die sich aus der Ferne einloggen. Er soll der einzige sichere Weg sein, um von außen in das Gebäude zu gelangen.

Bei der Sicherheitslücke CVE-2025-6543 handelt es sich um ein Problem mit dem Schloss, durch das Angreifer eindringen können, ohne einen Ausweis durchzuziehen.

Dadurch ist es möglich,:

• Web-Shells zu installieren, was dem Bau eines geheimen Tunnels für den Fall entspricht, dass das Schloss repariert wird, der Angreifer aber trotzdem ins Gebäude gelangen will.
• die Besucherprotokolle zu löschen, so dass die Sicherheitskräfte nicht wissen, dass sie dort waren.

Außerdem gibt es weitere Probleme, die kürzlich behoben wurden:

• CVE-2025-5777 ist so, als hätten Sie einen versteckten Aktenschrank in der Lobby, aus dem private Besprechungsnotizen und Hauptschlüssel für jeden herauskommen, der weiß, wo er suchen muss.
• CVE-2025-5349 ist so, als würde man die Tür zum Kontrollraum unverschlossen lassen, so dass sich jeder hineinschleichen und an den Gebäudesystemen herumspielen kann.

Hier ist der Haken an der Sache

Citrix hat jetzt das defekte Schloss ausgetauscht, den Aktenschrank entfernt und die Tür zum Kontrollraum wieder verschlossen, aber ein Angreifer könnte schon Monate vorher drin gewesen sein.

Selbst wenn Sie das Schloss am ersten Tag der Reparatur ausgetauscht haben, könnten die Tunnel, versteckten Eingänge und unverschlossenen Fenster immer noch vorhanden sein.

Was getan werden muss

1. Ersetzen Sie das vordere Schloss

Installieren Sie die neuesten Sicherheitsupdates von Citrix. Wenn Ihre Haustür noch das alte Schloss hat, können Eindringlinge immer noch eindringen.

2. Räumen Sie das Gebäude

Zwingen Sie alle Personen, das Gebäude zu verlassen, und lassen Sie sie ihren Zugangsausweis vorzeigen, wenn sie wieder reinkommen wollen. Bei NetScaler heißt das: Ausführen:

kill icaconnection -all
kill pcoipConnection -all
kill aaa Sitzung -all
kill rdp-Verbindung -all
lb persistentSessions löschen

3. Suchen Sie nach Tunneln und versteckten Zugängen

• Verwenden Sie die Scan-Tools des niederländischen NCSC, um versteckte Dateien und Hintertüren zu finden: https://github.com/NCSC-NL/citrix-2025
• Überprüfen Sie jede "Etage" (Systemverzeichnis) auf Dinge, die dort nicht sein sollten
• Suchen Sie nach neuen "Hauptschlüsseln" (Administratorkonten), die Sie nicht vergeben haben.

4. Ändern Sie alle Schlüssel und Alarm-Codes

• Setzen Sie alle Admin-Passwörter zurück
• Geben Sie VPN-Tokens und -Zertifikate neu aus

5. Sichern Sie den Kontrollraum

• Halten Sie das NetScaler Management Panel vom offenen Internet fern
• Erlauben Sie den Zugriff nur von einer kleinen Liste vertrauenswürdiger Quellen (IP-Adressen)

6. Überwachen Sie die Kameras

• Aktivieren Sie die vollständige Protokollierung
• Achten Sie auf ungewöhnliche Badge-Swipes (Logins), ungewöhnliche Arbeitszeiten oder Änderungen an Gebäudesystemen

Wenn Sie auf ungewöhnliches Verhalten stoßen, einen versteckten Tunnel entdecken oder Hilfe benötigen. Wenden Sie sich an unsere Vertriebsmitarbeiter unter cybersecurity@bureauveritas.com

Die wahre Lektion

Es geht nicht nur darum, das Schloss der Eingangstür auszutauschen. Es geht darum, jeden geheimen Eingang zu finden und zu schließen, den der Einbrecher hinterlassen hat. Wenn Sie nur das Schloss austauschen und weggehen, könnte immer noch jemand im Keller sein, der sich in Ihre Leitungen eingeklinkt hat und auf den richtigen Zeitpunkt wartet, um zuzuschlagen.

QUELLEN:

https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&artic%5B%E2%80%A6%5Dteway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777=