CVE-2026-12345: Kritische RCE in Citrix NetScaler aktiv ausgenutzt
Kurzfazit
Eine unauthentifizierte Remote-Code-Execution-Lücke in Citrix NetScaler ADC und Gateway wird aktiv ausgenutzt. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen. Security-Teams sollten Edge-Systeme sofort prüfen.
Was ist passiert?
Eine kritische Schwachstelle in Citrix NetScaler ADC und Gateway (CVE-2026-12345) ermöglicht unauthentifizierte Remote-Code-Execution. Citrix hat einen Out-of-Band-Patch veröffentlicht. CISA bestätigt aktive Ausnutzung in freier Wildbahn und hat die CVE in den KEV-Katalog aufgenommen.
Warum ist das relevant?
NetScaler-Systeme sind in vielen Unternehmen als Internet-facing Edge-Geräte im Einsatz und damit besonders attraktive Ziele:
- Direkt aus dem Internet erreichbar
- Häufig in der DMZ ohne tiefe Segmentierung
- Authentifizierungs-Schwachstellen ermöglichen Initial Access
- Historisch wiederholt Ziel von Ransomware-Gruppen (siehe CVE-2023-3519, CVE-2024-3661)
Priorisierungssignale
| Signal | Wert |
|---|---|
| CVSS | 9.8 (Critical) |
| EPSS | 92 % |
| KEV-Status | ✅ aktiv ausgenutzt |
| Quellen | 7 Fachmedien innerhalb 48 h |
| PoC | öffentlich auf GitHub |
Betroffene Versionen
- NetScaler ADC 13.0 vor 13.0-92.31
- NetScaler ADC 13.1 vor 13.1-49.15
- NetScaler ADC 14.1 vor 14.1-12.35
- NetScaler Gateway 13.x und 14.x in den gleichen Bereichen
Geräte mit "End of Life"-Status (12.1 und älter) erhalten keinen Patch.
Was Security-Teams jetzt prüfen sollten
- 1Prüfen, ob NetScaler ADC oder Gateway im Einsatz ist (auch in Tochtergesellschaften)
- 2Citrix Security Bulletin lesen und betroffene Versionen ermitteln
- 3Notfall-Patching innerhalb 24 h einplanen
- 4Detection-Regeln für ungewöhnliche NetScaler-Logs aktivieren (Webshell-Indikatoren)
- 5Falls Patching nicht möglich: Geräte vom Internet trennen oder vor WAF stellen
- 6Compromise-Assessment für aktiv gepatchten Geräte durchführen
Betroffene Branchen
Betroffene Technologien
Relevante CVEs