Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat meerdere vitale organisaties in Nederland getroffen zijn door een geavanceerde cyberaanval op Citrix-systemen. Deze aanval misbruikte een nog onbekende (zero-day) kwetsbaarheid in Citrix NetScaler.
Wat is Citrix?
Citrix is een digitaal systeem waarmee medewerkers op afstand veilig kunnen inloggen op hun bedrijfsnetwerk, zodat je bijvoorbeeld vanaf huis toegang krijgt tot interne applicaties, bestanden en het intranet.
Tijdens de coronaperiode is het gebruik van Citrix enorm toegenomen, vooral om veilig thuiswerken op grote schaal mogelijk te maken. Hierdoor is het in veel organisaties een kritiek onderdeel van de IT-infrastructuur geworden en dus ook een aantrekkelijk doelwit voor cyberaanvallers.
Wat is er aan de hand?
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat meerdere vitale Nederlandse organisaties zijn gehackt via een kritieke (zero-day) kwetsbaarheid in Citrix-systemen (CVE-2025-6543). Welke organisaties precies zijn getroffen, is niet bekendgemaakt.
Op 25 juni maakte Citrix zelf bekend dat er een zero-day kwetsbaarheid was ontdekt in NetScaler ADC en NetScaler Gateway en bracht het bedrijf direct een beveiligingsupdate uit. Het NCSC heeft op 16 juli organisaties in Nederland die deze systemen gebruiken geïnformeerd dat zij mogelijk sporen van misbruik van dit lek waren tegengekomen.
Uit forensisch onderzoek blijkt dat aanvallers sinds begin mei misbruik hebben gemaakt van het lek, nog voordat er op 25 juni een beveiligingsupdate beschikbaar kwam. Daarbij zijn sporen van de inbraak actief gewist, wat het onderzoek bemoeilijkt. Waar de hackers precies zijn binnengedrongen en of ze nog actief zijn, blijft nog even onzeker, zegt het NCSC.
Het Openbaar Ministerie bevestigde recent zelf slachtoffer te zijn geworden en besloot daarop alle systemen van internet te halen, wat het belang onderstreept van snel onderzoek en melding bij het NCSC bij het aantreffen van sporen van misbruik.
Advies en maatregelen
Citrix heeft updates vrijgegeven om het gat in de beveiliging te dichten, maar het NCSC benadrukt dat patchen alleen niet voldoende is: als een aanvaller al toegang heeft, kan die ook na het installeren van updates in het systeem blijven. Het NCSC adviseert nadrukkelijk om connecties en sessies te beëindigen nadat de beveiligingsupdates zijn geïnstalleerd. Alleen op deze manier kan worden voorkomen dat een kwaadwillende toegang houdt tot buitgemaakte sessies. Onderneem daarnaast de volgende stappen:
1. Volg het advies van het NCSC op:
- Ga actief op zoek naar sporen van misbruik, ook als er (nog) geen incident is gemeld.
- Behoort jouw organisatie tot de kritieke sector en heb je een waarschuwing ontvangen?
- Neem direct contact op met het NCSC.
- Start een onderzoek naar mogelijke inbraken.
- Controleer logbestanden en andere digitale sporen.
2. Forensisch onderzoek:
- Kun je dit niet zelf? Schakel dan een gespecialiseerd bureau in.
- Snelheid is cruciaal: hoe eerder je onderzoekt, hoe meer sporen behouden blijven.
3. Snel handelen:
- Stel direct een team samen met IT, security, management en communicatie.
- Zorg dat je snel een volledig beeld krijgt van de situatie.
4. Wees open:
- Als je getroffen bent, deel dit met relevante partijen zodat anderen van de situatie kunnen leren en maatregelen kunnen nemen.
Waarom nu actie ondernemen?
Het is te vergelijken met een villawijk waar bij 28 huizen de voordeur openstaat: een aanvaller kiest niet één doelwit, maar gaat bij zoveel mogelijk naar binnen. Daarom is het belangrijk voor organisaties om de adviezen van het NCSC te volgen, zodat cybercriminelen geen kans meer maken.
