Het Nederlandse Openbaar Ministerie is vrijdagochtend offline gegaan door ernstige zorgen over de beveiliging van de digitale werkomgeving. Alle internetverbindingen zijn afgesloten en werken op afstand is niet mogelijk. Een datalek wordt niet uitgesloten. De website is wel bereikbaar.
Donderdag stuurde demissionair minister van Justitie en Veiligheid David van Weel al een brief naar de Tweede Kamer over het lek. Daarin schrijft hij dat het om een lek in de Citrix NetScaler-software gaat en dat het College van procureurs-generaal heeft besloten het OM los te koppelen van het internet.
Het OM gebruikt de NetScaler-software van het bedrijf Citrix. In die software werd vorige maand een kritiek beveiligingslek gevonden, dat geregistreerd is onder het nummer CVE-2025-5777 en een CVSS-score heeft van 9,3. Vorige week bevestigde de Amerikaanse Cybersecurity & Infrastructure Security Agency dat het CitrixBleed 2-lek ook actief wordt misbruikt. In 2023 bevatte de software ook al een grote kwetsbaarheid.
De kwetsbaarheid zit specifiek in het eindpunt /p/u/doAuthentication.do, dat authenticatieverzoeken op apparaten met NetScaler afhandelt, schrijft cyberbeveiligingsbedrijf Imperva. Door een HTTP-POST-verzoek met een verkeerde inlogparameter naar dit eindpunt te sturen, verwerkt NetScaler deze invoer onjuist en kan daardoor een geheugenvariabele niet correct initialiseren. De respons van de server lekt vervolgens overgebleven stackgeheugencontent. Daardoor kunnen onder meer authenticatietokens en inloggegevens worden gelekt. De aanval is herhaalbaar, waardoor hackers uiteindelijk grote hoeveelheden informatie kunnen verkrijgen.
Citrix heeft op 18 juni al beveiligingsupdates beschikbaar gesteld, maar het is niet duidelijk of en wanneer het OM die heeft doorgevoerd. Hackers konden het CitrixBleed 2-lek volgens securitybedrijf Greynoise sinds 23 juni actief misbruiken. Onderzoeker Kevin Beaumont zag de eerste acitiviteit al op 20 juni.
Reactie van het OM
"Vanuit het NCSC is een signaal binnengekomen dat er een mogelijke kwetsbaarheid is in de Citrix NetScalers. Deze zijn voor het OM belangrijk om toegang te geven aan gebruikers tot de omgeving van de kantoorautomatisering. Een grondige analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid."
"Op basis van deze informatie is door het College van procureurs-generaal besloten om de interne digitale omgeving van het OM los te koppelen van het internet, wat inhoudt dat medewerkers niet meer kunnen inloggen buiten een OM-locatie, en er ook binnen de kantooromgeving beperkingen zijn."
"Zodra er meer informatie beschikbaar is over de aard, omvang en gevolgen van de mogelijke kwetsbaarheid, wordt deze gedeeld."
Update, 11.51 uur - Toegevoegd dat demissionair minister van Justitie en Veiligheid David van Weel donderdag al een brief naar de Tweede Kamer stuurde over dit onderwerp.
Update 2, 13.11 uur - Reactie van het Openbaar Ministerie toegevoegd.