Vor ein paar Wochen schlug die Veröffentlichung des CVE 2025-5777 hohe Wellen.
Zur Erinnerung: Der CVE beschreibt eine kritische Schwachstelle, die in NetScaler ADC und NetScaler Gateway entdeckt worden ist. Durch unzureichende Eingabevalidierung kann es nicht authentifizierten Angreifern unter anderem gelingen, Speicherinhalte vom Server auf den Client zu übertragen und dadurch vertrauliche Informationen direkt aus dem Speicher des Servers zu lesen. Für die Ausnutzung muss der NetScaler als Gateway (virtueller VPN-Server, ICA-Proxy, CVPN, RDP-Proxy) oder virtueller AAA-Server konfiguriert sein. Die seitens Citrix dringend empfohlenen Maßnahmen sind das zeitnahe Update der betroffenen Versionen (siehe https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420).
Präventive Updates sind wichtig – ebenso die Auswertung potenzieller Angriffsversuche auf von der Sicherheitslücke betroffenen Appliances. Entsprechende Versuche können in den NetScaler Protokollen nachvollzogen werden. Idealerweise gehen wir in den folgenden Schritten davon aus, dass die Logdateien extern gesichert werden. Bei rein lokal abgelegten Logdateien könnten diese aus kapazitativen Gründen bereits von der Appliance automatisch entfernt worden sein.
Die Existenz von nicht lesbaren (non-ASCII) Zeichen in den Logs können Hinweise auf mögliche Exploit Versuche sein.
Die Logs auf der NetScaler Appliance sind unter /var/log gespeichert (z.B. als komprimierte .gz Files ns.log.*gz).
Mit folgendem Befehl können verdächtige Zeilen gefiltert werden: zcat ns.log.*.gz | awk -v FS=’Authentication is rejected for ‚ ‚{if($1~/AAA Message/&&$2~/[\x80-\xff]/) print}‘
In Authentifizierungslogs sollten keine binären oder nicht-ASCII-Zeichen auftauchen. Wenn sie doch da sind, deutet dies auf gezielte Manipulationsversuche oder automatisierte Exploit-Scans hin.
Auch die manuelle Überprüfung der Client-IP-Adresse aus bestimmten Sitzungsereignissen kann auf einen etwaigen Sitzungsdiebstahl hinweisen. Sie kann aber auch darauf hinweisen, dass sich ein Benutzer von mehreren Standorten aus verbunden hat, beispielsweise vom Büro-WLAN ins Heimnetzwerk. Ein Sitzungsdiebstahl ist plausibel, aber nicht garantiert, wenn CVE-2025-5777 ausgenutzt wird.
Beispiel: Bei der Analyse von VPN-Sitzungen (SSLVPN TCPCONNSTAT-Ereignis):
ns.log.10.gz:Jul 11 10:41:50 <local0.info> 10.0.0.1 07/11/2025:10:41:50 GMT ns 0-PPE-0 : default SSLVPN TCPCONNSTAT 1496 0 : User user1 - Client_ip 10.2.0.20 - Nat_ip 127.0.0.2 – Vserver 10.1.2.32:443 - Source 10.2.0.20:50961 – Destination 127.0.0.1:81 – Start_time „07/11/2025:10:41:50 GMT“ – End_time „07/11/2025:10:41:50 GMT“ – Duration 00:00:00 – Total_bytes_send 750 – Total_bytes_recv 1200 – Total_compressedbytes_send 0 – Total_compressedbytes_recv 0 – Compression_ratio_send 0.00% – Compression_ratio_recv 0.00% – Access Allowed – Group(s) „N/A“
Es wird erwartet, dass die Client-IP und Source-IP identisch sind, solange der Benutzer nicht das Netzwerk wechselt.
Aus den SSLVPN-Logs können Sessions mit Nutzername und IP-Adressen extrahiert werden, um verdächtige IP-Wechsel innerhalb einer Sitzung zu identifizieren. Ein solcher Wechsel kann auf Sitzungsdiebstahl hindeuten – insbesondere bei gleichbleibendem Benutzer aber wechselnder Source IP. Diese Analyse erfordert jedoch Kontextwissen, da IP-Wechsel auch durch legitime Netzwerkwechsel verursacht werden können.
„*“ zeigt erforderliche Felder an
