CitrixBleed 3 ist da: CVE-2026-3055 (CVSS 9.3) liest Session-Tokens direkt aus dem NetScaler-Speicher - und die Exploit-Welle rollt jetzt durch den Mittelstand

Eine Appliance, deren einziger Daseinszweck der abgesicherte Fernzugriff ist, verwandelt sich in das Leck, durch das Angreifer das gesamte Firmennetz betreten. Was wie ein Widerspruch klingt, ist seit dem Fruehjahr 2026 Realitaet an zehntausenden Citrix-NetScaler-Systemen - und die Angriffswelle hat im Juni einen neuen Hoehepunkt erreicht. Die Schwachstelle traegt die Kennung CVE-2026-3055 und ist in der Sicherheits-Community laengst unter ihrem Spitznamen bekannt: CitrixBleed 3. Sie reiht sich ein in eine Ahnenreihe, die schon zweimal vorgefuehrt hat, wie verheerend ein simpler Lesefehler im Arbeitsspeicher sein kann.

Was genau ist passiert?

Am 23. Maerz 2026 veroeffentlichte Citrix das Security Bulletin CTX696300 und schloss damit zwei zusammenhaengende Speicherfehler in NetScaler ADC und NetScaler Gateway - gefuehrt unter CVE-2026-3055 und der eng verwandten CVE-2026-4368. Schon vier Tage spaeter, am 27. Maerz, beobachteten Threat-Intelligence-Teams die ersten Exploit-Versuche in freier Wildbahn. Am 30. Maerz nahm die US-Behoerde CISA die Luecke in ihren Known-Exploited-Vulnerabilities-Katalog auf und setzte Bundesbehoerden eine Patch-Frist bis zum 2. April. Was als schlechtes Wochenende fuer Administratoren begann, ist inzwischen ein Dauerlauf: Fortinet meldet eine grossflaechige Ausnutzung internetexponierter NetScaler-Systeme, die als SAML Identity Provider konfiguriert sind. Genau diese Welle trifft jetzt die Nachzuegler - und im deutschen Mittelstand sind das erfahrungsgemaess viele.

Der Name CitrixBleed ist kein Zufall. Bereits CVE-2023-4966 (der originale CitrixBleed) und CVE-2025-5777 (CitrixBleed 2) folgten demselben Muster: Ein unauthentifizierter Angreifer bringt die Appliance dazu, ihm Teile ihres eigenen Speichers auszuhaendigen. Beim ersten CitrixBleed nutzten Ransomware-Gruppen die Methode als Einfallstor in zahllose Unternehmensnetze. CVE-2026-3055 ist die dritte Auflage desselben Drehbuchs - nur an einer neuen Stelle im Code.

Die Technik dahinter: Wenn die Appliance ihren eigenen Speicher ausplaudert

CVE-2026-3055 ist ein Out-of-Bounds Read, also ein Lesezugriff ueber die eigentlich erlaubten Speichergrenzen hinaus. Ursache ist eine unzureichende Eingabevalidierung im SAML-Identity-Provider-Pfad der Appliance. Die Voraussetzung fuer einen erfolgreichen Angriff ist denkbar gering: Das NetScaler-System muss als SAML IdP konfiguriert sein und aus dem Internet erreichbar - eine Konstellation, die bei Remote-Access-Gateways die Regel und nicht die Ausnahme ist. Authentifizierung, Benutzerinteraktion oder besondere Vorbedingungen braucht der Angreifer nicht.

Der Ablauf ist erschreckend schlicht. Der Angreifer sendet eine bewusst fehlerhafte Anfrage - etwa an den Endpunkt /saml/login ohne den Parameter AssertionConsumerServiceURL oder an /wsfed/passive?wctx mit einem leeren wctx-Wert. Die Appliance reagiert, indem sie kiloweise uebrig gebliebenen Prozessspeicher base64-kodiert in das Antwort-Cookie NSC_TASS schreibt. In diesem Speicherabbild finden sich genau die Dinge, die niemals nach aussen gelangen duerfen: gueltige Session-Tokens, SAML-Assertions und im Klartext zwischengespeicherte LDAP-Zugangsdaten.

Der typische Angriffspfad laeuft in vier Stufen ab: Erst eine Aufklaerung ueber /cgi/GetAuthMethods, um verwundbare und passend konfigurierte Systeme zu finden. Dann der eigentliche Exploit ueber /saml/login oder /wsfed/passive. Anschliessend das wiederholte Auslesen des Speichers ueber das NSC_TASS-Cookie - oft hunderte Male, denn jeder Treffer liefert einen neuen Speicherausschnitt. Und schliesslich die Session-Uebernahme: Mit einem erbeuteten gueltigen Token meldet sich der Angreifer als legitimer Mitarbeiter an.

Warum Ihre Multifaktor-Authentifizierung hier nicht hilft

Das ist der gefaehrlichste Aspekt dieser Schwachstelle - und der am haeufigsten unterschaetzte. Viele Verantwortliche denken: Wir haben doch MFA, uns kann das nicht treffen. Ein Trugschluss. Die Multifaktor-Authentifizierung schuetzt den Anmeldevorgang. Sie prueft, ob jemand sich einloggen darf. Hat der Nutzer diese Huerde aber einmal genommen, stellt die Appliance ein Session-Token aus - ein digitales Ticket, das fuer die Dauer der Sitzung beweist: Dieser Nutzer ist bereits authentifiziert.

Genau dieses fertige Ticket liest CVE-2026-3055 aus dem Speicher. Der Angreifer muss sich gar nicht erst anmelden - er uebernimmt eine bereits authentifizierte Sitzung und umgeht damit Passwort und zweiten Faktor in einem Zug. Aus Sicht des NetScaler-Systems ist nichts Verdaechtiges passiert: Ein gueltiges Token wird vorgezeigt, also wird Zugriff gewaehrt. MFA war nie ueberfluessig, aber gegen Session-Diebstahl ist sie schlicht der falsche Schutzwall. Wer mehr ueber den ganzheitlichen Schutz von Identitaeten und Zugaengen wissen moechte, findet auf unserer Seite zur Informationssicherheit die passende Einordnung.

Bin ich betroffen?

Betroffen sind NetScaler ADC und NetScaler Gateway in den folgenden Versionsstaenden, sofern das System als SAML IdP arbeitet:

14.1 vor 14.1-66.59 · 13.1 vor 13.1-62.23 · 13.1-FIPS und 13.1-NDcPP vor 13.1-37.262.

Besonders heikel: Die Versionsreihen 12.1 und 13.0 haben das End of Life erreicht und erhalten ueberhaupt keinen Patch mehr. Wer noch eine dieser Versionen betreibt, ist nicht nur fuer CVE-2026-3055 verwundbar, sondern grundsaetzlich nicht mehr abgesichert. Hier hilft nur ein Upgrade auf eine unterstuetzte Version - und zwar sofort.

Was Sie jetzt tun muessen - die Reihenfolge ist entscheidend

Ein reines Einspielen des Patches reicht bei dieser Schwachstellen-Klasse nicht aus. Das ist die wichtigste Lehre aus den beiden vorherigen CitrixBleed-Wellen: Der Patch schliesst das Loch, aber er wirft keinen Angreifer hinaus, der waehrend des Verwundbarkeitsfensters bereits ein Token erbeutet hat. Gehen Sie deshalb in dieser Reihenfolge vor:

1. Patchen

Aktualisieren Sie umgehend auf 14.1-66.59, 13.1-62.23 oder 13.1-FIPS/NDcPP 13.1-37.262. Veraltete 12.1- und 13.0-Systeme muessen auf einen unterstuetzten Zweig migriert werden.

2. Alle Sitzungen zwangsweise beenden

Nach dem Patch muessen saemtliche aktiven Sitzungen terminiert werden, damit erbeutete Tokens wertlos werden. Citrix empfiehlt hierfuer die bekannten Befehle zum Beenden aller ICA-, PCoIP-, AAA- und RDP-Verbindungen. Lassen Sie diesen Schritt aus, bleibt ein gestohlenes Token gueltig, als haetten Sie nie gepatcht.

3. Zugangsdaten rotieren

Gehen Sie davon aus, dass alles, was waehrend des Verwundbarkeitsfensters im Speicher lag, kompromittiert ist. Setzen Sie die Passwoerter aller VPN-Nutzer zurueck, rotieren Sie die LDAP-Service-Account-Kennwoerter und tauschen Sie die SAML-Signaturzertifikate aus.

4. Erkennung und Absicherung nachziehen

Aktivieren Sie eine Session-Bindung an IP-Adresse und Geraetemerkmale, damit ein Token nicht von einem fremden Standort wiederverwendet werden kann. Hinterlegen Sie WAF-Regeln, die fehlerhafte Anfragen an /saml/login und /wsfed/passive blockieren.

Wurde ich bereits angegriffen? So jagen Sie die Spuren

Die gute Nachricht: Der Exploit erzeugt charakteristische HTTP-Muster, die sich auch ohne aktuellen Patch erkennen lassen. Durchsuchen Sie Ihre WAF-Logs, die NetScaler-eigenen ns.log- und Syslog-Daten sowie die Zugriffsprotokolle vorgelagerter Reverse-Proxys. Achten Sie besonders auf Anfragen vom Typ GET /cgi/GetAuthMethods von externen IP-Adressen - vor allem, wenn sie gebuendelt auftreten oder von Infrastruktur stammen, die zuvor nie mit Ihrem System gesprochen hat. Ungewoehnlich viele Antworten mit gefuelltem NSC_TASS-Cookie sind ein weiteres deutliches Alarmsignal.

Finden Sie solche Spuren, behandeln Sie den Vorfall als bestaetigte Kompromittierung: Token gelten als gestohlen, Anmeldedaten als offengelegt. In diesem Fall ist eine strukturierte Incident Response gefragt, die ueber das blosse Patchen weit hinausgeht.

Die regulatorische Dimension

Fuer viele Unternehmen ist CVE-2026-3055 nicht nur ein technisches, sondern auch ein Compliance-Thema. Wer unter die NIS-2-Pflichten faellt, muss erhebliche Sicherheitsvorfaelle innerhalb enger Fristen an das BSI melden - eine erfolgreiche Session-Uebernahme mit anschliessendem Netzwerkzugriff gehoert zweifelsfrei dazu. Saubere Logs, ein dokumentierter Reaktionsplan und nachweisbares Patch-Management sind hier kein Selbstzweck, sondern gesetzliche Anforderung. Unterstuetzung bei der regelkonformen Umsetzung bietet pleXtec im Bereich Compliance.

Fazit

CitrixBleed 3 ist kein exotischer Spezialfall, sondern die dritte Wiederholung eines bekannten Musters an einer der meistverbreiteten Remote-Access-Komponenten ueberhaupt. Die Kombination aus unauthentifizierter Ausnutzbarkeit, MFA-Umgehung durch Session-Diebstahl und einer laufenden, grossflaechigen Angriffswelle macht CVE-2026-3055 zu einem Fall fuer sofortiges Handeln. Patchen Sie, beenden Sie alle Sitzungen, rotieren Sie Ihre Geheimnisse - in genau dieser Reihenfolge. Und pruefen Sie, ob bereits jemand vor Ihnen da war.

Sie betreiben NetScaler-Systeme und sind unsicher, ob Ihr Patch- und Reaktionsprozess der aktuellen Bedrohungslage standhaelt? Das Leistungsspektrum von pleXtec reicht von der Schwachstellenanalyse bis zur Haertung Ihrer Infrastruktur. Sprechen Sie uns an - bevor es die Angreifer tun.