Das CERT-Bund hat am vergangenen Samstag, den 20.06.2025, per Schwachstellenscans nach verwundbaren Citrix Netscalern (CVE-2025-5777) gesucht und die Provider / Betreiber informiert. Leider kam es dabei zu einem (unschönen) False Positive.
Mich erreichte da gestern, am 23.06.2025, bspw. folgende E-Mail vom RZ Provider mit dem Hinweis, dass Handlungsbedarf bzgl. CVE-2025-5777 bestünde obwohl der Scan die bereits gepatchte Version auslieferte:
Hallo zusammen,
wir wurden vom CERT-Bund darüber informiert, dass die folgenden Systeme möglicherweise von kritischen Citrix NetScaler Schwachstellen betroffen sind.
Bitte informiert uns zeitnah, wann und wie ihr gegen die Schwachstellen etwas unternehmen werdet.
Es handelt sich laut der Meldung um folgende Systeme:
„asn“,“ip“,“timestamp“,“port“,“version“,“cve“
„—–„,“–.—.—.–„,“2025-06-20 10:40:04″,“443″,“13.1-58.32″,“cve-2025-5777“Sehr geehrte Damen und Herren,
mehrere kritische Schwachstellen in Citrix NetScaler ADC/Gateway-Systemen
können von entfernten Angreifenden ausgenutzt werden, um sensible
Informationen auszuspähen, einen Denial-of-Service auszulösen oder
beliebigen Programmcode auf den betroffenen Systemen auszuführen und die
Systeme darüber ggf. vollständig zu kompromittieren.Weitere Informationen zu den Schwachstellen:
CVE-2022-27510
CVE-2023-3519
CVE-2023-4966
CVE-2023-6549Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC)
Citrix NetScaler ADC/Gateway-Systeme identifiziert wurden, welche mit hoher
Wahrscheinlichkeit noch für mindestens eine der oben genannten Schwachstellen
verwundbar sind.
Die Spalte „cve“ gibt an, für welche der Schwachstellen das jeweilige System
mit hoher Wahrscheinlichkeit verwundbar ist.Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Systeme zu ergreifen bzw. Ihre betroffenen Kunden
entsprechend zu informieren.…
Die gute Nachricht: Aufgrund des CVSS Base Score von 9,3 hatte ich alle Instanzen direkt am 17.06. aktualisiert. 🙂
Die schlechte Nachricht: Der Schwachstellenscan hat die Netscaler auf Firmware 13.1-58.32 trotzdem gelistet. 🙁
Am Ende des Tages: Hier die Antwort vom CERT-Bund zu meiner Rückfrage, ob (weiterer) Handlungsbedarf besteht oder es sich um ein False Positive handelt:
Guten Tag,
vielen Dank für Ihre Rückmeldung.
Unsere Reports zu verwundbaren Citrix-Systemen basieren auf Daten einer externen Quelle.
Leider wurde von der Quelle die Version 13.1-58.32 als verwundbar eingestuft, obwohl tatsächlich nur Versionen vor dieser verwundbar sind.
Die Quelle wurde informiert und arbeitet an der Korrektur.
Wir bitten diesen False Positive zu entschuldigen.Mit freundlichen Grüßen
das Team CERT-BundIm Auftrag
XXX
—
Bundesamt für Sicherheit in der Informationstechnik (BSI)
CERT-Bund
Godesberger Allee 87
53175 Bonn
Telefon: +49 (0)228 99 9582 5110
Telefax: +49 (0)228 99 9582 7025
Web: https://www.bsi.bund.de/CERT-Bund/
PGP & S/MIME: https://www.bsi.bund.de/CERT-Bund-Kontakt#DeutschlandDigitalSicherBSI
Alle Informationen zum Umgang mit Ihren personenbezogenen Daten finden Sie unter www.bsi.bund.de/datenschutz
Schreibe einen Kommentar