OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten - update

Het Nederlandse Openbaar Ministerie is vrijdagochtend offline gegaan door ernstige zorgen over de beveiliging van de digitale werkomgeving. Alle internetverbindingen zijn afgesloten en werken op afstand is niet mogelijk. Een datalek wordt niet uitgesloten. De website is wel bereikbaar.

Donderdag stuurde demissionair minister van Justitie en Veiligheid David van Weel al een brief naar de Tweede Kamer over het lek. Daarin schrijft hij dat het om een lek in de Citrix NetScaler-software gaat en dat het College van procureurs-generaal heeft besloten het OM los te koppelen van het internet.

Het OM gebruikt de NetScaler-software van het bedrijf Citrix. In die software werd vorige maand een kritiek beveiligingslek gevonden, dat geregistreerd is onder het nummer CVE-2025-5777 en een CVSS-score heeft van 9,3. Vorige week bevestigde de Amerikaanse Cybersecurity & Infrastructure Security Agency dat het CitrixBleed 2-lek ook actief wordt misbruikt. In 2023 bevatte de software ook al een grote kwetsbaarheid.

De kwetsbaarheid zit specifiek in het eindpunt /p/u/doAuthentication.do, dat authenticatieverzoeken op apparaten met NetScaler afhandelt, schrijft cyberbeveiligingsbedrijf Imperva. Door een HTTP-POST-verzoek met een verkeerde inlogparameter naar dit eindpunt te sturen, verwerkt NetScaler deze invoer onjuist en kan daardoor een geheugenvariabele niet correct initialiseren. De respons van de server lekt vervolgens overgebleven stackgeheugencontent. Daardoor kunnen onder meer authenticatietokens en inloggegevens worden gelekt. De aanval is herhaalbaar, waardoor hackers uiteindelijk grote hoeveelheden informatie kunnen verkrijgen.

Citrix heeft op 18 juni al beveiligingsupdates beschikbaar gesteld, maar het is niet duidelijk of en wanneer het OM die heeft doorgevoerd. Hackers konden het CitrixBleed 2-lek volgens securitybedrijf Greynoise sinds 23 juni actief misbruiken. Onderzoeker Kevin Beaumont zag de eerste acitiviteit al op 20 juni.

Reactie van het OM

"Vanuit het NCSC is een signaal binnengekomen dat er een mogelijke kwetsbaarheid is in de Citrix NetScalers. Deze zijn voor het OM belangrijk om toegang te geven aan gebruikers tot de omgeving van de kantoorautomatisering. Een grondige analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid."

"Op basis van deze informatie is door het College van procureurs-generaal besloten om de interne digitale omgeving van het OM los te koppelen van het internet, wat inhoudt dat medewerkers niet meer kunnen inloggen buiten een OM-locatie, en er ook binnen de kantooromgeving beperkingen zijn."

"Zodra er meer informatie beschikbaar is over de aard, omvang en gevolgen van de mogelijke kwetsbaarheid, wordt deze gedeeld."

Update, 11.51 uur - Toegevoegd dat demissionair minister van Justitie en Veiligheid David van Weel donderdag al een brief naar de Tweede Kamer stuurde over dit onderwerp.

Update 2, 13.11 uur - Reactie van het Openbaar Ministerie toegevoegd.

Door Imre Himmelbauer

Redacteur

18-07-2025 • 10:58

132

Submitter: Jelv

Reacties (131)

131
129
61
5
0
41
Wijzig sortering

Sorteer op:

Weergave:

Als dat inderdaad die CVE's van 17 juni zijn mogen ze zich daar wel even diep gaan zitten schamen hoor. De CVE was om 13:48 bekend en tegen 4 uur diezelfde dag (dus niet 18 juni!) was de patch er, die stond er bij ons diezelfde avond nog op. En dat kan gewoon zonder downtime voor je medewerkers als je 2 of meer Netscalers in HA hebt draaien.

[Reactie gewijzigd door FastFred op 18 juli 2025 11:08]

Ik gok dat de omgeving die het OM heeft, iets groter is dan de omgeving waar jij in werkt. ;) Mensen vergeten vaak ook dat security issues ook op een andere manier gemitigeerd kunnen worden dan alleen het toepassen van een bepaalde patch of installatie van een nieuwe versie.

Als je dus zorgt dat het lek niet misbruikt kan worden, of dusdanig mitigeert dat het risico op misbruik minimaal is (tot de patch geïnstalleerd is), zie ik niet waarom het een probleem is, als een patch wat later geïnstalleerd wordt.

Ik vind het daarom eerder kortzichtig, om de omgeving van het OM te vergelijken met een andere omgeving, alleen al vanwege de grootte ervan. Maar goed, de beste stuurman(nen) staan altijd aan wal.

[Reactie gewijzigd door CH4OS op 18 juli 2025 12:15]

Klopt wat je schrijft maar er zit wel één hele lastige aanname in verwerkt: dat het risico op misbruik na mitigatie minimaal is. En juist daar wil het met systemen die aan publiek internet hangen nog wel eens vaker misgaan, er was een workaround, config setting, andere mitigation, maar door al andere toegepaste techniek, workarounds of config settings dekte die niet geheel de risico's af. Mogelijk gevolg: ondanks nobele inspanning alsnog gehacked. Zulke analyses van leveranciers gaan toch vaak uit van een installatie die verder draait op best practices of fabrieksinstellingen, die kunnen niet alle mogelijke permutaties in het veld overzien.
Een patch binnen een paar uur installeren kan leiden tot ongewenst gedrag, mogelijk zelfs uitval van de hele oplossing. Tegelijk kijk je dan naar (bedrijfs)risico's en bij het OM is er best wel eens sprake van levensgevaar voor bepaalde getuigen en zo meer, grote maatschappelijke afbreukrisico's als zware criminelen via gelekte informatie (deels) hun straf zouden kunnen ontlopen.
Dan kom je toch juist bij het OM wel op een hele scherpe afweging om die patches zo snel mogelijk te installeren. Als op 23 juni in het wild de hacks en exploits rondgaan hiervoor, wordt dat nog honderd keer scherper. Het kan dat het OM de informatie simpelweg niet wel delen als deel van een lopend onderzoek, maar mochten die patches nog altijd niet geïnstalleerd zijn geweest voor de omgeving waar naar alle waarschijnlijkheid met geheime documenten gewerkt wordt, dan is dat naar mijn mening wel verwijtbaar om zo een risico toe te staan voor zo een instituut met mensenlevens op het spel.
In theorie heb je gelijk.

In de praktijk, zo'n opstelling wordt steeds ingericht met "High-Availability", dus twee nodes die in sync draaien qua config. NetScaler heeft al keer op keer bewezen dat je perfect 1 node kan upgraden, en die een dag of 2 aanhouden om te verifiëren dat alles goed blijft gaan.

Maar dan is op zijn minst het risico al afgedicht.

Zodra je zeker bent dat alles goed is, dan pas voer je de upgrade uit op de tweede node.

Na "Citrix Bleed 1" in 2019, zouden organisaties er zich bewust van moeten zijn dat je met dit soort upgrades niet wacht. Er is geen enkel excuus om patching uit te stellen in dit geval.
Zo maar blind updates installeren op systemen kan tot andere, veel grotere issues leiden.

Dus enige terughoudendheid met installeren is vrij normaal, zelfs als je een HA omgeving hebt. Je wil namelijk niet van de regen in de drup belanden.
Ik specialiseer me al 15jaar in het NetScaler platform, in het geval dat een upgrade een probleem oplevert, ga je gewoon terug naar de andere node. Werkt altijd.

Als er andere problemen ontstaan, die op dat moment niets met NetScaler te maken hebben, moet je echt serieus gaan afwegen of je het remote access gedeelte maar niet even offline moet halen.

Iedereen maakt het altijd zo moeilijk, terwijl het dat helemaal niet hoeft te zijn.

Of je patcht, of je patcht niet.
Als je niet patcht, is de kans groot dat je vroeg of laat slachtoffer wordt van een aanval.
Als je wel patcht, en er is geen probleem opgedoken na 2 dagen op de nieuwe firmware, doe je de andere.

Als je wel patcht, en wel problemen opmerkt, kan je ze ofwel gelijk fixen, of je gaat terug naar de andere node, of je haalt remote access offline. En dat is met een score van, wat was het, 9.3, volledig te rechtvaardigen.

Dit gaat niet over blind upgraden van windows machines, waar je potentieel een hele berg problemen moet gaan oplossen. Het gaat om 1 HA paar. Better safe than sorry.

En dit geldt ook voor 100 HA Paren bij dezelfde organisatie:

- Analyseer het risico
- Is de CVE van toepassing op je omgeving, updaten.
Daarnaast zijn er meerdere "lines of defence" mag ik hopen, waarvan Netscaler één van de aanwezige drempels is. En als je het niet vertrouwd, dan better safe than sorry, dat pleit wel voor de IT club daar. Maar een maand later nog geen patch geïnstalleerd hebben met een CVE score van 9.3, daar krab ook ik me even achter de oren. Als er een "Risk Assessment" klaar zou liggen met een scenario als deze, ben ik wel benieuwd wat daarin staat.
bij dergelijke systemen is het "fix forward" systeem een goede oplossing.

zo snel mogelijk de fix implementeren en als er problemen opduiken, dit dan weer fixen.
"Insufficient input validation leading to memory overread when the NetScaler is configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server"

Heeft niets met de configuratie te maken, het geheugen wordt overschreven door een onvoldoende input validvatie.
Ik ben het volledig met je eens. Je schrijft onder andere:

"bij het OM is er best wel eens sprake van levensgevaar voor bepaalde getuigen en zo meer, grote maatschappelijke afbreukrisico's als zware criminelen via gelekte informatie (deels) hun straf zouden kunnen ontlopen."

Dat zijn redenen om niet te aarzelen, je vertelt dat correct.

Echter, je bent nog te bescheiden. Want je noemt nu alleen de criminelen en getuigen. En ik heb de indruk dat je praat over lokale (Nederlandse) problemen voor die mensen. Maar dit gaat heel veel verder. We hebben immers een oorlog. Velen hebben wel eens een fout begaan en die willen liever niet dat de Russen daarvan afweten, en zelfs alles weten tot in de details (NAW-gegevens, namen, BSN, alles). Het zou nu zomaar kunnen zijn dat 20% van heel Nederland nu beschadigd kan worden door criminelen en/of Russen, of op zijn minst chantabel is geworden. Bij het OM gaat het immers niet om een keertje door rood rijden.

We hebben een oorlog! Dus nogmaals: je hebt gelijk maar het is veel erger dan je noemde.

Ik ga hier heel even over verder, want dit is een breed probleem. Grote groepen mensen beseffen nog steeds niet goed wat er aan de hand is. Ook in deze draad zie ik het maar beperkt terug. Wat zie ik steeds? Nog steeds zie ik heel veel mensen die royaal toegeven dat we een oorlog hebben en dat dat zeer ernstig is. Dat we ons dus moeten verbeteren. Dat bijvoorbeeld Europa sterker moet worden en dat we minder egoïstisch moeten worden en socialer. Maar wat gebeurt er? Ze blijven daarin hangen en komen niet verder. Ze blijven een scheiding aanhouden tussen dat besef enerzijds en hun persoonlijke leven anderzijds. Ze blijven maar doorgaan of er niets aan de hand is.

Ik noem 1 voorbeeld: om de huidige instabiliteit, wanorde en agressie terug te dringen, is het uiterst belangrijk dat we weer een beetje normaal en correct met elkaar omgaan. En toch zijn er ongelofelijk veel Nederlanders die het probleem aan de ene kant beseffen en ook toegeven, maar tegelijkertijd gewoon doorgaan met hun zakelijke leventje, hun onzorgvuldigheden, hun commerciële trucjes, hun rare gedrag tegenover klanten en collega's, hun onbetrouwbaarheid enzovoort.

Dit kan niet langer. We moeten ons beter realiseren wat er écht aan de hand is. Wat daar is gebeurd, is niet alleen een probleem omdat criminelen er hun straf door zouden kunnen ontlopen, en getuigen worden beschadigd, maar vooral doordat Rusland nu alles weet van de strafzaken van (ik schat) 20% van heel Nederland. Het is bijna net zo erg als de recente hack van de Bondsdag.

edit: tikfout

[Reactie gewijzigd door Farmeur op 18 juli 2025 16:31]

In de basis heel erg eens met dit statement:
Mensen vergeten vaak ook dat security issues ook op een andere manier gemitigeerd kunnen worden dan alleen het toepassen van een bepaalde patch of installatie van een nieuwe versie.
De andere mitigatie hier is echter wel het offline halen van de systemen :) Veel meer keus is er wat mij betreft niet voor een internet facing systeem. Soms kan een Web Application Firewall helpen, maar dat was hier ook snel duidelijk dat het geen oplossing is.

In dit geval was patchen eigenlijk de enige keus.
ja, en waarschijnlijk de hoeveelheid red-tape die nodig is om wat-voor-patch dan ook online te krijgen, wat serieus veel doorlooptijd met zich mee kan brengen. En, vergeet niet: er werken mensen, dus er worden fouten gemaakt (zo'n patch als deze over het hoofd gezien/vergeten/vast in de procedurele pipeleine/etc)
Als je dus zorgt dat het lek niet misbruikt kan worden, of dusdanig mitigeert dat het risico op misbruik minimaal is (tot de patch geïnstalleerd is), zie ik niet waarom het een probleem is, als een patch wat later geïnstalleerd wordt.
Maar dat hebben ze klaarblijkelijk dus niet gedaan.... anders hadden we dit bericht nu niet gehad?


Ik snap dat je niet hotseflots pats boem patch doet in een grote omgeving, maar een hotfix voor een versie die je toch al draait meer dan een maand niet installeren is wel het andere uiterste.

het is een hotfix, geen major upgrade. veel meer dan een paar regels code kan het niet zijn. dus wat is je impact? dat soort analyses moet je dan even gaan maken. de code die niet is aangepast zal niet ineens bugs gaan vertonen (die waren er dan toch al), dus waar zit je kwetsbaarheid ongeveer en hoe kun je testen dat het nu niet meer stuk gaat?

Like hoe groot kan het risico nou zijn dat je het echt stuk maakt met zoiets? een omgeving als dit heeft backups van backups. restore procedures die getest zijn, zelfs als je alles uit de lucht trekt, hoelang heb je nodig om het weer op te bouwen en hoeveel werk ben je kwijt?

zoals @AddictIT al zei:
Als je wel patcht, en wel problemen opmerkt, kan je ze ofwel gelijk fixen, of je gaat terug naar de andere node, of je haalt remote access offline. En dat is met een score van, wat was het, 9.3, volledig te rechtvaardigen.
9.3 is geen kattepis, niks doen en maar afwachten is dan gewoon GEEN optie.


Men had prima een schaduw omgeving op kunnen zetten en daar vast patches testen bijvoorbeeld. Helemaal toen 23 Juni duidelijk werd dat er in het wild al misbruik van werd gemaakt.

Dat risico is gewoon veel te groot. Een datalek bij het OM is echt een probleem voor de samenleving. Dat is niet acceptabel. Heel eerlijk, dan maar tijdelijk niet remote werken voor een weekje. Moet kunnen toch?
Mja dat bericht is natuurlijk 0,0 bewijs Ygdrassil heeft net niet ver genoeg gekeken. lees maar even iets verder in die thread.

Maar verderop staat een betere bron hoor. Kennelijk is er een lijst met scans waaruit blijkt dat ze al gepatched hadden.

Maakt de rest van mijn bericht niet minder waar overigens.
<quote>

veel meer dan een paar regels code kan het niet zijn.

</quote>

Blijkbaar is een paar regels code voldoende om een gat te fixen. Één regel code kan al meer dan voldoende zijn om iets te openen. Hoe vaak hebben we niet gezien dat een fix voor probleem X, probleem Y creëert.

Dus de grote van een patch maakt echt niet uit. Je zal altijd alles weer moeten testen.

Verders weet ik te weinig van de situatie om er iets van te vinden. Geen idee hoe men dit intern behandelt en beoordeeld heeft.

Wel kudos om dan toch maar alles offline te halen. Dat is toch een behoorlijke stap.
Dus de grote van een patch maakt echt niet uit. Je zal altijd alles weer moeten testen.
Dat is niet waar. Als je systeem maar modulair genoeg is opgezet. Modules die niet geraakt zijn hoef je dan echt niet meer volledig opnieuw te testen, korte integratie test en je kunt weer verder. Goe software design valt en staat ook met een goede test strategie en modulair bouwen.
Blijkbaar is een paar regels code voldoende om een gat te fixen
Als er veel meer nodig zou zijn dan was het een groter issue geweest en was er niet in een paar uur een fix. Soms heb je wel een design overhaul nodig omdat het by design gewoon stuk is en dan duurt het wat langer.
"Een datalek bij het OM is echt een probleem voor de samenleving.

Nee, veel breder. Dit is niet beperkt tot alleen Nederland en "er liggen wat gegevens op straat". Dit is veel erger. We hebben een echte oorlog met ontwrichting, sabotage, het tegen elkaar opzetten van groepen, en het beïnvloeden van mensen. Dit groeit. Een grote groep mensen is nu chantabel geworden (als die gegevens gestolen zijn). Vergeet dat niet.

Zie verder mijn post HIER: link
Ja dat is dus ook mijn punt. Misschien niet scherp genoeg neergezet, maar dit is wel iets meer dan een “incidentje”.
Ik snap het.

Ik laat ook graag weten dat mijn posts vaak bedoeld zijn voor iedereen.
M.a.w. ik doe gewoon een 'reply', maar dat is meestal niet persoonlijk bedoeld. O-) Soms zet ik er dan bij 'aan allen'.

In dit geval schreef ik 'vergeet dat niet'. Dat mocht wel gezegd worden in reactie op je post, maar ik bedoel zoiets nadrukkelijk óók algemeen: namelijk omdat 80% van de posters dat vergeten. Het is tenslotte een 'openbare discussie' en als het goed is leest iedereen mee.

Meestal ga ik ook niet na met wie ik te maken heb. Dat gaat me iets te ver, en ik ga liever uit van de woorden. Dat is meestal wel genoeg. Soms herken ik de naam wel.
Ik doe dat overigens wél als ik vermoed dat er iets raars aan de hand is (zoals een vermoeden van een influencer of complotdenker).

Als alternatief zou ik natuurlijk wat vaker in de 'root' kunnen reageren, maar dat heeft weer het nadeel dat het érg los staat van wat er werd gezegd.

En nu ga ik dit onderwerp weer vergeten. Anders word ik er gestoord en naar van. :X Dat gun ik ze niet want dan zouden 'ze' hun doel bereiken. We moeten kritisch zijn en tegelijk stabiel blijven. Dat is IMHO het beste. Veel beter dan chaos en wanorde. O-) O-)

Mijn teksten en posts zijn van mij. Niets van mijn teksten en gedachten mogen aan AI worden gevoerd, verwerkt, bewaard of wat dan ook.
Als netwerk engineer zijnde. Dit soort netwerken hebben soms honderden zo niet duizenden VPX`n Dat upgraden doe je niet zomaar eventjes. Daarbij als je een fail over doet heb je een hickup en ben je je sessie kwijt.

[Reactie gewijzigd door johanneslol op 18 juli 2025 13:43]

Dat is al lang niet meer correct... als het goed opgezet is, verlies 1 ping.

Je sessie kan zo hernomen worden.
Totale onzin. Gewoon met de adm/netscaler console automatisch patches. Het is totaal niet verdedigbaar dat ze dit niet gedaan hebben. Sessies verlies heb je niet.

[Reactie gewijzigd door Tylen op 18 juli 2025 15:48]

Waarom roeptoetert iedereen hier dat ze zich moeten schamen terwijl in het artikel staat dat het OM niet (meer) kwetsbaar was op het moment van schrijven van het artikel. En er staat ook nergens dat het om de kwetsbaarheid van laatste maand in de netscaler gaat, dat wordt er als voorbeeld bijgezet.
Op moment van schrijven van dit artikel stond die Netscaler al uit, en inderdaad als je de stekker uit je kwetsbare apparaat trekt ben je niet meer kwetsbaar.

De meest recente kwetsbaarheid in Netscaler is die van 17 juni, ik mag toch hopen dat ze niet nog verder achterlopen dan dat.
Er staat in het artikel nergens dat het om de netscaler gaat. Na het verhaal van het OM zegt de schrijver van het artikel dat het OM die netscaler gebruikt en dat daar een kwetsbaarheid in zat. Nergens is gezegd dat dat de reden is dat ze nu op slot gaan.
Onze Minister van Justitie en Veiligheid zegt in de brief aan de 2e kamer letterlijk dat het hier om de Citrix Netscaler gaat

https://open.overheid.nl/documenten/951ed65e-b464-45da-96aa-28ff686a73f5/file

Bekijk ook de geschiedenis van dit artikel even:
https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196
Eerste publicatie 18 juni. En dan vandaag een update "ohja er wordt misbruik van gemaakt en we raden aan om te updaten". Dat strookt ook met de brief van de Minister dat het NCSC dit geroepen heeft.

[Reactie gewijzigd door FastFred op 18 juli 2025 11:44]

Of men heeft gepatched, maar er was al gehacked (leuk dat die CVE er is, maar niets weerhoud iemand er van een systeem te hacken voordat de CVE gepubliceerd is) en moeten ze nu gewoon schoonmaken/systemen wipen. Ik denk, gezien de slechte history van zero-days op Citrix, dat men dit geen maand laat liggen.
Mensen die denken dat het OM dit soort dingen niet gelijk patcht snappen ook niet hoe serieus ICT-beveiliging daar genomen wordt. Het OM is een high value target en het is zeer waarschijnlijk dat men al persistense had voordat het lek uberhaupt bekend was (als het om dezelfde CVE gaat). Dat ze er nu pas achter komen kan ook zijn omdat men niet meteen misbruik gaat maken van de toegang. Dat doe je pas als je weet waar je naar zoekt, of men verkoopt die toegang aan een ander. wat er verder is gebeurd blijft gissen tenzij je het bewijs hebt gezien (en dan nog zijn er mogelijk zat false flag indicatoren bij aanvallen op dit niveau)
dat kan helemaal niet zonder downtime. want alle bestaande sessies moeten gekilled worden omdat je niet weet of ze valide zijn. als je dat niet gedaan hebt dan is de kans dat ze al binnen waren, en weet je dus niet of ze nog steeds toegang hebben.
Maar het gaat hier om een Nederlandse overheidsinstantie, geen multinational.

Ik durf te wedden dat er niemand meer online is om 19:00 in de avond. Gewoon omdat de boel automatisch dicht gaat als iedereen zit te dineren.

Dus zelfs al zou het moeten, kan prima in de avond zonder dat iemand daar echt hinder van gaat ondervinden.
Nog niet zo heel lang geleden was er een patch van een systeem die de halve wereld heeft platgelegd omdat ze zo lekker snel werd doorgevoerd. Hierbij komt crowdstrike bij mij in gedachten. Er zijn redenen om snel te acteren als er issues zijn. Maar niet als een blind paard achter de meute aan.
Nee, maar een maand is wel weer het andere uiterste. 2-5 dagen aankijken in een schaduw omgeving oke, Dat is niet zo gek en doe ik vaak ook met verschil test/acc -> prod.

Maar daar heb je dus lifcycle management en back-up/restore procedures voor.
Citrix heeft op 18 juni al beveiligingsupdates beschikbaar gesteld, maar het is niet duidelijk of en wanneer het OM die heeft doorgevoerd. Hackers konden het lek sinds 23 juni actief misbruiken. Het OM kon niet direct reageren op vragen van Tweakers over de kwetsbaarheid.
Iemand hier ervaring mee of een idee waarom dit zo lang duurt?
Het updaten en patchen kost natuurlijk tijd, maar als het om een actief misbruikte kwetsbaarheid gaat, zou dat toch geen maand mogen duren?

Zouden grotere bedrijven daar niet standaard draaiboeken of plannen voor klaar hebben liggen?

Niet mijn vakgebied daarom de vraag ;)
Er staat nergens dat er nu nog niet gepatcht is/was, er staat dat uit onderzoek is gebleken dat er mogelijk wél misbruik van is gemaakt: dat kan ook net voor het (eventueel snelle?) patchen zijn geweest.
Kevin Beaumont scant al sinds het uitkomen van de patches op niet-gepatche Netscalersystemen. In alle resultaten *.om.nl die hij heeft gezien, lijkt alles vanaf het begin gepatcht. Kan natuurlijk zijn dat er Netscalers zijn die niet in deze scan zitten.

https://github.com/GossiTheDog/scanning/
zou je dan mogelijk wel zeggen ja. ook op 9 Juli zaten ze er niet in.

Toch apart dat je nu dan de boel offline trekt. Als er alleen onderzoek gedaan wordt naar symptomen van eerdere toegang (want neem aan dat alle sessies van toen nu toch al wel een keer gekilled zijn), dan is het niet noodzakelijk om de werkzaamheden verder neer te leggen right?

Als het kalf al verdronken is dan heeft het weinig zin om de put nu te dempen.
Eerdere sessies kunnen natuurlijk zijn misbruikt om het netwerk op een bepaalde manier te infecteren en toekomstige toegang op andere manier mogelijk te maken.
Ik neem aan dat je je sessies na die update al een keer gekilled hebt (zou ik toch in je procedure opnemen, maar kennelijk is dat nu ook opgevlalen bij ncsc)
Ondanks het installeren van beveiligingsupdates, kunnen Citrix-systemen namelijk nog steeds kwetsbaar zijn doordat sessies die al zijn gestart actief blijven. Een aanvaller die de kwetsbaarheid met kenmerk CVE-2025-5777 heeft misbruikt voordat de beveiligingsupdates zijn geïnstalleerd, kan via deze sessies daardoor toegang tot het systeem behouden. Gebruik de volgende commando's voor het beëindigen van de connecties en sessies: kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions Zie de bijgevoegde referenties voor meer informatie.
Heel eerlijk zou ik het eigenlijk al wel apart vinden als er nu nog sessies actief kunnen zijn sinds ongeveer 18 Juni. Ik zou vanuit security eigenlijk iedere zaterdag nacht alle sessies gewoon hard killen. Iig op een moment dat er geen enkele legitieme reden meer zou moeten zijn om nog een sessie actief te hebben. Of om dat dus gewoon dusdanig een standaard te maken dat je medewerkers dit ook gewoon weten.

Er gaan met netscaler wel vaker dingen mis die sessiegebonden zijn dus die systematisch opruimen is absoluut niet verkeerd. Sinds de OG citrix-bleed uit 2023 zou ik dat in ieder geval wel eens bekijken.
Dat probeer ik juist te zeggen. Ze komen binnen via een gekaapte sessie van dit lek, maar gaan dan opzoek naar andere meer privileges en andere kwetsbaarheden om blijvend toegang te houden die niet via de Netscaler loopt. Het is dan leuk als je de update uitvoert en daarna handmatig de sessies killed zoals geadviseerd wordt. In die periode dat er toegang is geweest kunnen de kwaadwillende dan of iets van een verkenningstool of al permanente toegang via een andere manier hebben gekregen. Het kan natuurlijk ook zijn dat iemand alleen heeft rond kunnen snuffelen en er uit is gegooid. Dit wil je natuurlijk zeker weten en zal je forensisch onderzoek van de csirt willen hebben die dit uitsluit. Zeker bij het OM en extra om dat dit rond de Navo top is gebeurd. Grote kans dat een statelijke actor die wat meer dan een script kiddie misbruik heeft gemaakt.
Dat is hoe APTs te werk gaan. Die bouwen command and control kanalen in zodat ze altijd weer terug kunnen komen.

Het is echt niet zo makkelijk als steeds snel alles patchen. Een zero day is vaak al lang bekend bij hackersgroepen voordat hij publiek bekend wordt.
Nouja. Hier heb je natuurlijk ook wel SIEM systemen voor. En dingen als active anomaly detection. Veel exploratory dingen zul je daar dan al wel mee afvangen omdat het raar is dat een specifieke entiteit ineens allerlei dingen gaat proberen die het niet zou hoeven proberen.
Echte apt activiteit triggert niet per definitie zo'n Siem. Die doen dat echt low key. Ook recon gebeurt niet vanuit ip's in Shanghai, maar vanaf de gecompromitteerde router bij de kapper om de hoek. Als je een serieuze aanvaller hebt met tijd en middelen gaat het echt heel sneaky.
Met mijn boerenverstand:

Als er op tijd ge-update was, had vandaag de boel niet in paniek offline gehaald te hoeven worden toch?

Dat er een paniekreactie bij het OM is, geeft mijns inzien aan dat het systeem vandaag dus nog steeds kwetsbaar was.
Ik kan me daar juist wel wat bij voorstellen. Recent heeft Citrix Indicators of Compromise gepubliceerd.
Het kan dus goed zijn dat er al misbruik van het lek is gemaakt voordat een patch überhaupt beschikbaar was. Met het OM als doel kan ik me daar best wel wat bij voorstellen.
Het is mijn vermoeden dat men op basis van de in de publicatie van Citrix genoemde sporen het vermoeden heeft dat er bij het OM inderdaad misbruik is gemaakt van het lek en dat men daarom een rigoureuze maatregelen heeft genomen.
Dat er een paniekreactie bij het OM is, geeft mijns inzien aan dat het systeem vandaag dus nog steeds kwetsbaar was.
Elk systeem is kwetsbaar, natuurlijk updates verlagen de kans van attack vectors maar landen zoals Rusland, Amerika, Iran, Nederland en Duitsland etc hebben allemaal hun eigen zero-day exploits, sommige worden gemeld anderen worden strategisch achtergehouden tot zij een nut hebben. Vaak omdat deze ook maar one time use zijn als de verdedigende partij zijn zaakjes op orde heeft.

Ik vind de aanpak van het OM strategisch, waarom? De Bundestag is afgelopen weken ook gehackt, zij negeerde de melding van de persoon die gehacked was, vervolgens een week later merkte het IT team van de Bundestag iets op, die stuurde vervolgens een bericht naar de BND zijn Cyber operaties (dit duurde ook weer 3 dagen), pas toen de BND een gespecialiseerd team van ICT'ers stuurde hadden zij de beslissing genomen om het hele netwerk plat te gooien.

De Russen zaten toen al 2 weken in de Bundestag, hebben alle data kunnen aftappen en vrijwel elke machine (PCs, telefoons, printers etc) was geïnfecteerd.

Ik hoop niet dat wij hetzelfde hebben gehad als de Bundestag, maar als de melding vandaag binnenkwam en zij het hele OM netwerk plat hebben gelegd ben ik trots op het handelen van de NCSC.
zij negeerde de melding van de persoon die gehacked was
Eindelijk een gebruiker die zijn due dilligence doet en direct aan de alarmbellen trekt, laten we em hangen

_/-\o_


:'(
@nonestpraens

Je kunt trots zijn op de NCSC maar die kan ook alleen maar reageren als mosterd na de maaltijd.

Het werkelijke probleem zit hem in de onverantwoord verouderde systemen van het OM.

Ook @ BytePhantomX heeft in zijn bijdrage goede dingen gezegd over patchbeleid, contracten met de ICTbeheerder etc. Ik ken de reputatie van het OM goed (zij het van enkele jaren geleden) en dat voorspelt helaas weinig goeds.

Er zijn in deze kwestie alleen maar verliezers en slechts één lichtpuntje: het OM kan ervan leren, kán.
Tenzij er het vermoeden is dat er logins gelekt zijn. Dan heb je een boel om na te lopen.
... sessies allemaal een kill geven? en audit logs checken?

Daar hoef je niet per se de boel voor offline te halen toch? Denk dat er dus nog wel iets meer dan een vermoeden aan de hand is (actief misbruik oid).
... sessies allemaal een kill geven? en audit logs checken?

Daar hoef je niet per se de boel voor offline te halen toch? Denk dat er dus nog wel iets meer dan een vermoeden aan de hand is (actief misbruik oid).
... sessies allemaal een kill geven? en audit logs checken?

Daar hoef je niet per se de boel voor offline te halen toch? Denk dat er dus nog wel iets meer dan een vermoeden aan de hand is (actief misbruik oid).
Dat helpt toch niks bij gelekte inlog gegevens. Dan wordt er gewoon opnieuw verbonden.
Account fisablen, ww resetten, alle login sessies verwijderen/uitloggen, geofencing aan hebben in je FW.

Evt nieuw account aanmaken.

VPN alleen met Whitelisted IP toegang verlenen naar een Stepping Stone, Bastion server en alleen vanaf die server mag je management doen.
Dan moet je eerst weten van welke account de data is gelekt. Als dat via een memory leak is gebeurd dan hoeft dat niet heel evident te zijn...
Klopt, maar dan zou patchen det lek voor NetScaler in ieder geval gefixt moetne hebben. of je infra op andere puntne gecompromitteerd is moet dan nog uit onderzoek blijken.

snap wel dat ze offline zijn en dat remote werken eruit lig .
Wat zijn “gelekte inloggegevens “ in deze? Met citrix bleed 1 ging het om sessietokens. Dat is dus sessies killen en alle tokens zijn invalid.


Lijkt het hierbook om te gaan. Gaat dus niet om user pw combis, plus daar zit wel 2FA op. Dat was het probleem juist citrix bleed werkt met tokens en dus met 2FA bypass
als je weet dat er een mogelijke hack is en je niet weet of ze nog actief zijn
maar wel weet dat je ten alle tijden de data lekkage moet beperken dan trek je de stekker eruit.
want je weet dan dus niet of ze niet een eigen toegang hebben toegevoegd toen het nog kon.

Dus nu kunnen ze eerst heel de boel gaan controleren of er niet nog ergens een 'extra feature' actief is.

Ik benijd ze niet...heel het netwerk analyseren...jay vlak voor het weekend...er gaan een paar mensen overuren draaien.
Grote bedrijven en organisatie hebben hier zeker standaard draaiboeken voor. Het is alleen erg afhankelijk hoe je eea hebt georganiseerd of je snel kan patchen. Onderstaand wat argumenten uit de praktijk, waar ik verder geen waarde-oordeel over wil geven.
  • Heb je een HA-cluster (high available) zodat je kan patchen zonder downtime.
  • Heb je wel downtime, wat zijn dat je patch windows, en in hoeverre kun je daarvan afwijken als dat business impact heeft. Genoeg organisaties die niet willen/kunnen betalen voor een HA-cluster en ook geen business impact willen/kunnen accepteren waardoor je als IT / Security geen mogelijkheden hebt om het goed te doen
  • In hoeverre zijn er issues in de omgeving die het patchen lastig of onmogelijk maken. Misschien is er technical debt die patchen lastig maakt, of zijn er bekende issues dat er een risico is dat een systeem na een patch niet meer opkomt.
  • Is het patchen uitbesteed aan een leverancier en welke afspraken heb je daar gemaakt. Zeker in overheidsland kan ik me voorstellen dat als je hier geen SLA voor hebt, een leverancier het niet doet, of je een flinke factuur kan krijgen.
  • Afstemming tussen alle partijen. Business, IT, security, leverancier etc. maakt het ingewikkeld.
En wat bij het OM natuurlijk ook nog meespeelt is dat ze al te maken hebben met issues: https://ibestuur.nl/artikel/verouderde-ict-zorgt-voor-aanhoudende-problemen-bij-het-om/

Quote uit het artikel:
dat de huidige ICT-problematiek binnen het OM is het gevolg “van een langdurige achterstand in de ontwikkeling en professionalisering van de informatievoorziening (IV)”. Hierdoor hebben de medewerkers veel te maken gehad met niet-stabiele ICT-voorzieningen.
Let wel, Citrix is het systeem waardoor werken op afstand mogelijk is en waarschijnlijk de manier waarop het hele land moet werken om bij systemen te komen. Als je dat eruit gooit voor een update betekent dit dat officeren zich niet kunnen voorbereiden op zaken. En ik heb zo'n vermoeden dat die voorbereiding ook 's avonds laat en 's ochtends vroeg is. Daarmee is het vinden van een patch window nog niet zo eenvoudig.

Ps. publiek is bekend dat de kwetsbaarheid na enkele dagen is misbruikt. Echter, deze Citrixbleed2 is erg in lijn met Citrixbleed en mogelijk dat statelijke actoren al eerder informatie hadden en er eerder misbruik van hebben kunnen maken. En het OM is natuurlijk wel relevant voor statelijke actoren. Als dat het geval is, is het helemaal geen discussie over te laat patchen, maar kon het OM er gewoon niets aan doen.
In mijn ervaring hebben grote bedrijven daar processen voor, maar binnen de overheid is het lang niet zo goed geregeld. OM is geen grote bedrijf.
Zucht, waarom moet men altijd maar afgeven op overheden en IT? Het gaat er in de private sector echt niet beter of slechter aan toe.
Het is niet afgeven. I deel mijn ervaring en gebaseerd op mijn ervaring is het bij de grote bedrijven echt een stuk beter geregeld dan binnen de overheid op het gebied van informatiebeveiliging. De volwassenheid is een stuk lager bij de overheid en er is veel minder assurance.

De Algemene Rekenkamer maakt zich ook al jaren druk om de lage volwassenheid op het gebied van informatiebeveiliging bij overheidsorganisaties.
Ik voel met je mee.

Ik denk dat het allebei moet. D.w.z. wel discussiëren en op fouten wijzen, maar tegelijk de samenwerking en respect overeind proberen te houden en te verbeteren.

Wat ik hier zeg en jouw verzuchting, heeft alles te maken met het feit dat we de samenleving moeten verbeteren. Zie verder wat ik daarover in mijn post van 10 minuten geleden heb gezegd.

HIER: link

[Reactie gewijzigd door Farmeur op 18 juli 2025 16:41]

Nou volgens mij was er een paar jaar geleden een rapport opgesteld dat zo'n beetje ieder IT project van de overheid op alle drie de belangrijke zaken ver uitliep op de doelstellingen. Budget, tijd en functionaliteit. Volgens mij heb je dan wel een chronisch probleem te pakken.


Ik kan alleen dat rapport niet meer vinden, stonden best wel harde conclusies in, interessant om te lezen in ieder geval.
Het OM is zeker een groot bedrijf. De kantoorautomatiseringsdienst, waar werkplekken en Citrix Netscaler ongetwijfeld onder valt, wordt door het OM uitbesteed aan een derde partij. Ik weet niet wie de huidige partij is. Ik verwacht dat het hier om een contract van een slordige 10 miljoen euro per jaar gaat. Dat baseer ik op de raming van het OM zelf.

Leuk detail namelijk, het OM heeft recent een tender online gegooid (naja, eerste stap in vorm van een "Concurrentiegerichte dialoog") waarmee ze het contract voor deze dienstverlening in de markt zetten:
Kantoorautomatisering diensten ten behoeve van het Openba...

Hier een greep uit de tender:
5.1.3 Geraamde duur

Looptijd: 10 Jaar

5.1.4 Verlenging

Maximumaantal verlengingen: 3

De koper behoudt zich het recht voor aanvullende aankopen te doen bij de contractant, zoals hier beschreven: De maximale looptijd van de raamovereenkomst inclusief 3 verlengingsopties bedraagt 10 jaar.

5.1.5 Waarde

Geraamde waarde exclusief btw: 115 000 000 Euro
edit:
tikfoutje

[Reactie gewijzigd door Mhuahaha op 18 juli 2025 13:22]

OM is geen bedrijf. Het is niet klein, maar het is geen bedrijf en moet voldoen aan de eisen, kaders en beleid van de (rijks)overheid. Informatiebeveiliging en daarbij horende processen zijn ingericht conform overheidskaders.
Het OM is geen bedrijf maar wel een slordige 5300+ medewerkers.
Netscalers updaten duurt bij ons max 20 minuten per Netscaler... En kan zonder werkonderbreking voor medewerkers als je 2 Netscalers in HA hebt draaien.

Kan er met de pet niet bij waarom hier een maand lang niets aan gedaan is
Wij zijn ook in 'oorlog' met landen die massale hacker legers hebben, kan gemakkelijk een state actor zijn met zero-day exploits. Aangezien Rusland massaal bezig is met websites van de Nederlandse overheid aan te vallen, wellicht een symbolische overwinning betreft de MH17 herdenking voor de Russen?

Waarom kritieke overheid organen programma's zoals Citrix blijven gebruiken terwijl het zo lek als een mandje is blijft mij verbazen.
Omdat alternatieven daarin niet beter zijn? Alle software heeft bugs. Zelfs IEFBR14 had die (Google it).
Maar waarom moet er een alternatief zijn voor Citrix? waarom niet gewoon helemaal niet zo'n type systeem gebruiken?


ik snap dat "alle software" bugs heeft, maar het niet gebruiken van dergelijke software "at all" zou dan mogelijk een uitkomst kunnen bieden? Wat zou dan het alternatief zijn?
Je hebt altijd last van de failovers date connectie tijdelijk weg valt. En afhankelijk van je configuratie kan het echt veel langer duren.vooral SDXen ben je snel een uur per machine kwijt

[Reactie gewijzigd door johanneslol op 18 juli 2025 13:46]

De sdx hoefde je in dit geval niet te patchen maar de vpx die op de sdx draait wel. 5 minuten werk.
Kan zoiets simpels zijn als een beheerder die denkt dat die authenticatie feature in zijn organisatie niet gebruikt wordt en die daarom de CVE geen hoge prio heeft gegeven.

Daarnaast kan overmatige voorzichtigheid van een organisatie ook een issue zijn. Ik heb in grote organisaties wel meegemaakt dat voor een belangrijk project met veel impact op de business de hele kalender werd schoon geveegd. Er mocht wekenlang geen enkele andere wijziging doorgevoerd worden om elk risico weg te nemen dat het project er last van had.
Ah...de random paniek generator, waarbij zeer ernstige zaken door individuele beheerders achter de coulissen opgelost worden, terwijl cosmetische imperfecties als wild-fire door je organisatie gaan met grote paniek tot gevolg...
Ik doe het tig keren per jaar. Zelf bij grotere en kritische omgevingen dan deze. Het is letterlijk 5 minuten werk. En kan gewoon overdag en als back heb je de andere netscaler nog.
Zouden grotere bedrijven daar niet standaard draaiboeken of plannen voor klaar hebben liggen?
Ja en 1 van de onderdelen daarvan is vaak dat als je een hack vermoed de internet stekkers er uit trekt en monitort wat er aan potentieel onwenselijk verkeer naar buiten wil.

Met alleen patchen zijn ze er niet bij vermoeden van misbruik. Er is nogal wat gevoelige data daar en ze hebben wat meer verantwoordelijkheden dan de gemiddelde bakker.

[Reactie gewijzigd door freaky op 18 juli 2025 16:37]

Gezien de aaneenschakeling van kwetsbaarheden in Citrix Netscaler zou de vraag moeten zijn: Wie wil zijn data nog via deze software over het internet beschikbaar stellen?
Er staat nergens dat het daadwerkelijk dit lek is. Er staat alleen een vermoeden van de auteur van het artikel zoals ik het lees. Kan op dit moment dus vanalles zijn.
Nee, dat is geen vermoeden van de auteur, maar een uitspraak van de woordvoerder van het OM zélf:
Een woordvoerder van het Openbaar Ministerie laat weten dat het Nationaal Cyber Security Centrum vrijdagochtend heeft gewaarschuwd voor een mogelijke kwetsbaarheid. "Een grondige analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid", zegt hij tegen NRC.
Dus nee, 100 procent zeker is het niet, maar er is dus al een grondige analyse gedaan door het OM, en er zijn dus op zijn minst serieuze vermoedens van exploit van dit lek.

Het is dus niet de auteur van dit artikel die dit stelt, maar het OM zelf via hun eigen woordvoerder.
Jan-man heeft wel een punt. NCSC heeft alleen gewaarschuwd voor een mogelijke kwetsbaarheid en de analyse geeft aan dat er gebruik is gemaakt van die kwetsbaarheid. Niemand zegt dat het de kwetsbaarheid is die vorige maand in Citrix is gevonden, het zou ook best een andere kwetsbaarheid kunnen zijn.
NCSC stuurt vanochtend een update uit m.b.t. een netscaler vulnerability (CVE-2025-5777) en verwijst zelf ook naar een blog van Doublepulsar en adviseert om onderzoek te doen en verbindingen te verbreken.

NCSC meldt ook dat ondanks het updaten, oude sessies nog steeds kwetsbaar zijn, hoe dat precies werkt, weet ik niet.

Alhoewel het niet direct bevestigd is door het OM, lijkt mij 1+1 = 2 hier :)
Daar lees ik dus niets over welke specifieke kwetsbaarheid de woordvoerder het heeft. Er wordt pas verderop in het artikel verwezen naar het lek in Netscaler.

Dat er nu problemen gevonden worden hoeft niet te betekenen dat het probleem zelf na een maand nog steeds gepatcht is.
Na het bekend worden van het lek was er een window van een paar uur voor er een patch werd uitgebracht (en daarna in het meest gunstige geval nog een window van een paar uur voordat de noodzaak erkend werd en toestemming gegeven werd voor het doorvoeren van de patch). Dat betekent dat de systemen van het OM een minimaal een paar uur kwetsbaar zijn geweest voor dit probleem.
Onderdeel van dit probleem is dat iemand die het probleem heeft misbruikt mogelijk inloggegevens heeft kunnen onderscheppen. Zelfs wanneer het probleem in de kortst mogelijke tijd werd gedicht, was het systeem een paar uur kwetsbaar.
Wanneer nu na een analyse van alle logbestanden blijkt dat er in die (hopelijk korte) tijd iemand de kwetsbaarheid op de systemen van het OM heeft misbruikt, betekent het dus dat er iemand in die tijd mogelijk inloggegevens heeft onderschept. Zelfs wanneer het systeem al een maand geleden gepatcht is, zijn die onderschepte inloggegevens nog steeds geldig voor normale toegang tot het systeem.
Dus is het inderdaad verstandig om het systeem off-line te halen om verder te onderzoeken om welke gegevens het gaat en accounts waarvan de inloggegevens mogelijk zijn onderschept te blokkeren, te onderzoeken en de inloggegevens te wijzigen voordat de blokkade wordt opgeheven.
De woordvoerder zegt niet welke kwetsbaarheid. Drie vijfde van het artikel is een aanname van de auteur.
Ik hoop dat men de NetScalers vrijwel direct na uitkomen van patches heeft bijgewerkt. Ik vermoed dat deze afschakeling verband houdt met de recente publicatie van Indicators of Compromise door Citrix.
Wellicht heeft men vanuit deze publicatie zaken aangetroffen die wijzen op misbruik van het lek en heeft men daarom gisteravond dit ingrijpende besluite genomen.

Vraag die bij mij rijst, is of Citrix niet eerder al iets had kunnen publiceren over mogelijk tekenen van gebruik van het lek. De eerste berichten van deze bug dateren al van 17 juni jl. Voor een kritieke bug met flinke impact en tekenen van actief misbruik van dit lek, vind ik een maand behoorlijk lang.

[Reactie gewijzigd door Cranberry op 18 juli 2025 11:15]

De eerste publiek beschikbare aanvalscode is al van 4 juli. Vanaf 6 juli zie ik in mijn eigen (semi-honeypot) logging al scans voorbij komen. In eerste instantie vanaf Private VPN met User-Agent "Vuln3rableVuln3rable", maar sindsdien vanaf meerdere andere IP-adressen. Het is dus niet alsof Citrix zich gisteren pas realiseerde dat deze kwetsbaarheid actief misbruikt wordt, dat is al bijna 2 weken bekend.

Laten we ook niet vergeten dat kort na deze kwetsbaarheid nog een andere werd verholpen waarvan Citrix wel heeft aangegeven dat deze actief aangevallen werd (0-day): CVE-2025-6543.
als het lek gepatched was dan had offline halen niet echt nut. De eventueel gelekte tokens gedurende de vulnerability op zich kan je gewoon resetten en dan is na de patch alles weer veilig vziw. juist het forensich uitvogelen of er gebruik van gemaakt is is lastig, maar zoals gezegd de deur dicht doen geeft normaliter daarna voldoende tijd om te kijken of er iemand is binnengeweest. wat er buitgemaakt is is er buitgemaakt daar ga je niks meer aan veranderen.

Tenzij er duidelijke tekens zijn dat er bijvoorbeeld dmv gebruik te maken van dit lek er daarna ook credentials of iets dergelijks buitgemaakt zijn lijkt dit een overtrokken reactie. Mocht dat wel het geval zijn is extern alles dichtgooien en iedereen dwingen om on site te komen en paswords ed. te wijzigen een logische response. Dus ik heb het vermoeden dat er wel degelijk toegang is verkregen en credentials buitgemaakt zijn.

[Reactie gewijzigd door sniker op 18 juli 2025 11:28]

Als je weet dat er misbruik van het lek is gemaakt (en men bijv. een sessie heeft kunnen overnemen), dan is de vraag wat de hackers verder in je omgeving nog hebben gedaan..
Persoonlijk vind ik het dan niet vreemd om het zekere voor het onzekere te nemen en je omgeving onmiddelijk af te sluiten van internet.
nogmaals: whatever ze hebben kunnen doen hebben ze al gedaan, daar ga je niks meer aan kunnen veranderen. daar ben je een maand na datum echt te laat mee. Patchen en met nieuwe tokens aan de gang voorkomt ook direct dat ze nog meer kunnen bemachtigen.

Enige uitzondering is dus als er naast sessie overnemen ook op een of andere manier credentials bemachtigd zijn (zou niet mogelijk moeten zijn maar ja hoe vaak er wel niet passwords gemaild worden zonder persoons verificatie, zelfs door helpdesken.) en dan moet een aanvaller ook nog 2fa resetten.(aangezien ik weet dat OM daar gebruik van maakt) Om dit alles tegelijk voor elkaar krijgen wijst op een hele reeks aan fouten en gaten in de verschillende IT processen binnen OM. maar ja idd als er reden is om te geloven dat er daadwerkelijk UID password en 2fa token bemachtigd is dan is alles afsluiten en fysiek op locatie resetten pas een logische response. (door op locatie af te dwingen vereis je een vorm van identificatie/3fa dmv toegangspas. Aangezien je niet als vreemde zomaar even op een werkplekje van het OM kan gaan zitten.)
Maar als men vervolgens in een sessie een ander lek misbruikt heeft om meer permissies te bemachtigen?

Als men na grondig onderzoek zo'n vertrekkend besluit neemt, zal men daar goede argumenten voor hebben.
In m'n achterhoofd moet ik daarbij denken aan de hack bij TUe eerder dit jaar.
Die situatie is precies wat ik omschrijf en waarom ik ook denk dat het idd zo serieus moet zijn om een dergelijk besluit te rechtvaardigen. Ik argumenteer dus niet dat er niks aan de hand is of dat het een overtrokken reactie moet zijn, maar dat er daar meer mis is gegaan en dat er echt serieus iets gebeurt moet zijn om deze reactie te rechtvaardigen.

En btw. dat zou dan wel weer bekend gemaakt mogen worden door een publieke organisatie als OM.
Ongelofelijk dat de halve draad vol staat met precies dezelfde boze berichten!

"Ze hadden dit moeten doen en ze hadden dat moeten doen".

Nemen die reageerders nu werkelijk niet even te moeite om het forum door te lezen? Dan ontdekken ze dat het allang is gezegd, vele keren zelfs. Nee, bij de eerste kop koffie achter hun toetsenbord, gaan ze meteen verontwaardigd tikken. Het is vrijdag tenslotte :z :X
mijn reactie is juist dat als de juiste acties door OM genomen zouden zijn dit een vreemde response is. tenzij er meer aan de hand is dan alleen gebruik van dit specifiek lek. Dus dat er elders ook nog gaatjes waren die misbruikt zijn waardoor de impact dusdanig groot is dat deze response daar op gerechtvaardigd is.

dus mijn eerste reactie moet je lezen als:
als dit een gerechtvaardigde response is dan is er een hoop meer aan de hand dan alleen "er is van dit lek gebruik gemaakt". die uitspraak is dan misschien feitelijk correct maar dekt de lading van wat er aan de hand moet zijn absoluut niet meer.
Een gevalletje "in case of cyber attack, break glass and pull cables"

Kwalijke zaak dit natuurlijk, een doel als het OM is potentieel erg interessant.
Ik lees dat iedereen het hier heeft over CVE-2025-5777 maar er was er daarna toch nog 1? Namelijk CVE-2025-6543

En daarvan is ook aangegeven dat die actief is gebruikt in het wild, als 0-day. Het zou dus best kunnen dat ze gecompromitteerd waren voordat de patch uberhaubt beschikbaar was.

En dan hebben we wel meer bedrijven die zich ernstige zorgen mogen maken.
Het OM gebruikt de NetScaler-software van het bedrijf Citrix. In die software werd vorige maand een kritiek beveiligingslek gevonden, dat geregistreerd is onder het nummer CVE-2025-5777 en een CVSS-score heeft van 9,3.
Die CVE is al van 17 juni en last update op 24 juni. Daarnaast wordt al weken door Citrix gepushed op het updaten door de zeer hoge ernst van het lek, en het feit dat er al known exploits in het wild gesignaleerd zijn. Er wordt dus al actief misbruik gemaakt.

Dan vind ik het op zijn minst zéér slordig dat men een maand na een dermate ernstig lek dit nu nog altijd niet heeft gepatched. Een CVE van 9.3 én meerdere expliciete waarschuwingen maken dit een highpriority update die met bovengemiddelde voorrang had moeten worden opgepakt.

Zeker voor een organisatie als het OM die toch met ernstig vertrouwelijke gegevens werkt moet je zoiets versneld oppakken.
Waar staat geschreven dat dit daadwerklijk de reden is van de huidige actie door OM? In het artikel wordt alleen maar gesuggereerd dat Citrix de oorzaak is. Dit is niet bevestigd door het OM.
Er is momenteel geen andere kwetsbaarheid in Netscaler, CVE-2025-5777 en CVE-2025-5349 zijn de meest recente van 17 juni.

Ik mag toch hopen dat ze niet nog verder achterlopen dan dat.
Correctie: dat zijn de meest recente die (algemeen) bekend zijn. Er bstaat ook nog zoiets als een zero day.
Voor CVE-2025-5777 en CVE-2025-5349 was Netscaler ook al kwetsbaar, we wisten het alleen nog niet.

En in de brief wordt inderdaad Netscaler genoemd maar geen details welke kwetsbaarheid misbruikt is. Zou ook om een zero day kunnen gaan en die zou zelfs kunnen zijn ontstaan door installatie van de laatste patches.
wie zegt dat het om Netscaler gaat? Kan toch een heel ander product zijn.

Update: aha, het artikel is nu aangepast met de opmerking dat het gaat om Netscaler. Dat stond er eerst niet. Helder.
Het staat ook letterlijk in de brief van de Minister van Justitie gericht aan de Tweede Kamer, dat het om Netscaler gaat.
dat klopt, dat is later toegevoegd aan het Tweakers artikel
Zoals door anderen ook al opgemerkt: de Citrix Netscalers onder om.nl waren op 4 juli al gepatched. Zie de historische scandata van Kevin Beaumont: https://github.com/GossiTheDog/scanning/blob/2e1ccb7182a74f137c278ccb089f3fb85ad21305/CVE-2025-5777-CitrixBleed2-ElectricBoogaloo-patching.txt

[Reactie gewijzigd door Darses op 18 juli 2025 12:04]

OM zou sowieso altijd offline moeten zijn en alleen werken op eigen intern netwerk zonder connectie met internet, dat is de enige manier om veilig te zijn voor hacks vanaf internet.
Zodat vervolgens de rest van het land gaat klagen dat het OM zo traag werkt. En dan moeten er bodes van de politiediensten/rechtbanken/ministerie/weet-ik-veel-wie-nog-meer met stapels papier/USB-sticks/hardeschijven naar het OM gaan iedere dag (en weer terug.)

Welkom in 1990 :)

Ik heb zelf geen idee hoe het OM werkt, en hoeveel lagen beveiliging er zijn om überhaupt bij data te kunnen komen, dus dat een lek in Netscaler zelf nog altijd geen toegang tot relevante/gevoelige data kan geven. (je bent alleen een stap dichterbij).
Komt wel erg dichtbij nu
Wie of wat komt nu dichtbij?

Op dit item kan niet meer gereageerd worden.