NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking

Aanvallers hebben kwetsbaarheden in Citrix NetScaler veel eerder misbruikt dan aanvankelijk leek en hebben hun sporen gewist. Het Nederlandse NCSC doet nog onderzoek, maar trekt al een conclusie: niet alle vragen over de aanvallen kunnen worden beantwoord.

Uit forensisch onderzoek bij getroffen organisaties blijkt dat de kwetsbaarheden begin mei voor het eerst zijn misbruikt, meldt het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid. Het onderzoek naar de Citrix-kwetsbaarheden die onder meer het Nederlandse Openbaar Ministerie hebben geraakt, loopt nog. Een conclusie trekt het NCSC al wel: niet alle vragen kunnen worden beantwoord.

Het NCSC is op 16 juli misbruik op het spoor gekomen van een kwetsbaarheid in de NetScaler-producten van Citrix. Later bleken er meerdere kwetsbaarheden te zijn, die ook werden misbruikt. Kwaadwillenden hebben die benut om via deze Citrix-netwerksystemen hackaanvallen uit te voeren.

Daarmee zijn de aanvallers ruim een maand eerder geweest dan het beveiligingsadvies dat het NCSC op 18 juni heeft gepubliceerd. Dat advies ging over de kwetsbaarheid CVE-2025-5349 in Citrix NetScaler ADC. Leverancier Citrix heeft op 25 juni een beveiligingsadvies gepubliceerd over een andere kwetsbaarheid: CVE-2025-6543.

Het NCSC heeft toen ook gewaarschuwd voor dat beveiligingsgat, dat naast NetScaler ADC (Application Delivery Controller) ook NetScaler Gateway raakt. Daarnaast speelt een derde kwetsbaarheid mee: CVE-2025-5777. Deze kwetsbaarheden zijn niet op alle kwetsbare Citrix-systemen noodzakelijkerwijs misbruikt.

Sinds het detecteren van misbruik is er veel onderzoek gedaan naar deze cyberaanval, aldus het NCSC. "Er is nog veel onzekerheid over welke organisaties gecompromitteerd zijn, of de actor nog actief is en wat de impact is van deze aanvallen. Het onderzoek zal nog blijven voortduren, maar inmiddels kan er geconcludeerd worden dat mogelijk niet al deze vragen beantwoord kunnen worden."

In Nederland zijn meerdere kritieke organisaties succesvol aangevallen via de kwetsbaarheid CVE-2025-6543 in Citrix NetScaler, meldt het NCSC. Het Nederlandse Openbaar Ministerie is een van de geraakte organisaties en heeft de noodmaatregel getroffen om zichzelf offline te halen. Sinds afgelopen donderdag is het OM weer bereikbaar per e-mail.

Volgens het NCSC zijn de aanvallen ‘het werk van een of meerdere actoren met een geavanceerde werkwijze’. De indringers hebben niet alleen de Citrix-kwetsbaarheid misbruikt als zeroday (dus voordat er een patch beschikbaar was), maar ook actief hun 'sporen gewist om compromittatie bij de getroffen organisaties te verbergen'. "Dit maakt forensisch onderzoek uitdagend."

Op basis van die ontdekking in het nog lopende onderzoek trekt het NCSC alvast een harde conclusie: mogelijk kunnen niet alle vragen over deze digitale aanvallen worden beantwoord. Het gaat dan om de vraag welke organisaties gecompromitteerd zijn, of de aanvallers nog actief zijn en wat de impact is van de aanvallen.

NetScaler-leverancier Citrix heeft patches uitgebracht om de kwetsbaarheden te verhelpen, maar dat helpt niet als aanvallers al binnen zijn gekomen. Zij kunnen dan webshells hebben geplaatst waarmee ze later opnieuw toegang hebben tot gecompromitteerde systemen. "Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen", waarschuwt het NCSC.

Organisaties krijgen het advies hun cyberweerbaarheid te verhogen door zogeheten defense-in-depthmaatregelen te nemen voor hun ict-beheer. Die aanpak helpt niet alleen tegen deze specifieke aanval, geeft het NCSC aan, maar maakt ook vergelijkbare aanvallen via nieuwe, nog onbekende kwetsbaarheden beter af te weren.

Voor de nu ontdekte aanvallen op deze Citrix-kwetsbaarheden zijn indicators of compromise (ioc’s) opgesteld. Onderzoek bij getroffen organisaties levert nog steeds nieuwe ioc’s op. Detectie van eventuele geplaatste webshells kan met een script dat het Nederlandse NCSC heeft gemaakt. Dat script is op 21 juli openbaar gepubliceerd op GitHub en sindsdien meerdere keren bijgewerkt.

Als een beheerder of beveiligingsexpert ioc’s aantreft in een organisatie, is volgens het NCSC vervolgonderzoek nodig 'om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden'. "Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning."

Door Jasper Bakker

Nieuwsredacteur

13-08-2025 • 10:31

57

Submitter: SunnieNL

Reacties (57)

57
56
26
0
0
18
Wijzig sortering
Aangezien we van big tech af zouden moeten stappen en vooral open source moeten gaan..


Wat is het opensource alternatief van Citrix?


Lichtelijk offtopic..

[Reactie gewijzigd door oNNoZeLe op 13 augustus 2025 11:04]

Geen 1-op-1 opensource-vervanger voor Citrix NetScaler (ADC/Gateway). Benader het functioneel, met bouwstenen.

Load balancer / reverse proxy (L4/L7)

HAProxy

Nginx (open source)

Envoy Proxy

Traefik

Web Application Firewall

ModSecurity v3 + OWASP CRS (koppelen aan Nginx of Apache)

NAXSI (voor Nginx)

GSLB / DNS-gebaseerde traffic steering

PowerDNS (geobackend/health-checks via scripts)

gdnsd

Anycast met BGP: FRR + Keepalived/VRRP (host-level failover)

TLS offload / content switching

HAProxy of Nginx (ACLs/rules)

SSL-VPN / Remote access

OpenVPN

WireGuard (met portal/SSO: wg-portal, Headscale/Tailscale OSS-variant)

OpenConnect (ocserv)
(Clientless web/VPN-portal op NetScaler heeft geen volwaardige OSS-equivalent)

AAA / SSO / MFA

Keycloak (OIDC/SAML)

oauth2-proxy (achter Nginx/Envoy)

Observability / logging

Prometheus + Grafana

ELK/Opensearch voor logs

Exporters voor HAProxy/Nginx/Envoy

Wat je niet volledig dupliceert zonder commerciële add-ons

ICA/HDX Gateway/Proxy voor Citrix Virtual Apps & Desktops

HDX/AppFlow/Insight-telemetrie

Built-in advanced GSLB-wizardry en clientless VPN-portal

Referentie-patronen

Klassiek: HAProxy + Keepalived (VRRP) + Nginx+ModSecurity + PowerDNS/gdnsd voor GSLB + OpenVPN/WireGuard + Keycloak.

Cloud/K8s: Envoy/Traefik Ingress + cert-manager + oauth2-proxy + ModSecurity (ingress-WAF) + external-dns/geo-DNS.
En dan ben zelf (als integrator) verantwoordelijk voor de end-to-end oplossing. Als je een kant-en-klaar product gebruikt kan je (als B2B klant) contractuele afspraken maken over bijvoorbeeld security. Bij ons in de contracten staan clausules dat wij binnen x dagen patches of workarounds moeten leveren. Good luck om dat met tig open source producten te regelen.
Das wel een flinke lijst :-)
Geeft ook precies het crux aan. Good luck om dat te doen met suppliers die de klant niet tijdig informeren. Het koste het OM ook een maand om dit te patchen.
Ze hadden na een week gepatcht, niet een maand.
Het lijkt me dat de gemiddelde IT-manager bij het zien van deze lijst zwaar in de stress zal schieten en kan reageren met iets als "veel te ingewikkeld, we hebben daar de kennis/kunde/handjes niet voor". Dat zijn de IT-managers die vervangen moeten worden.
Want die zijn immuun voor hacks?
Nee dat insinueer ik niet. Mijn vraag is vooral gestoeld op het feit dat ik soms mensen in m’n omgeving heb die vinden dat we van big tech af moeten stappen en dat icm met de regel “pas toe of leg uit” regels rondom Open Source zorgt dat er voor dat ik mij dit soms afvraag.

persoonlijk is het overstappen van big tech naar open source geen probleem, zolang er maar bewustwording is op wat er dan op je afkomt.
Het probleem is niet zozeer open source of closed source, maar of je een geintegreerde oplossing gebruikt waar je vertrouwt dat de leverancier de boel goed in elkaar heeft geschroefd, of dat je zelf met de (individueel robuuste) bouwstenen gaat werken, en het security risico ligt bij bij jou zelf dat je deze bouwstenen veilig kan configureren en onderhouden.

Electriciteitskabels, stekkers en stopcontacten zijn individueel prima veilig, maar als je niet weet hoe je ze correct moet combineren, dan krijg je toch een behoorlijke oplawaai.

[Reactie gewijzigd door Dreamvoid op 13 augustus 2025 16:12]

[quote]persoonlijk is het overstappen van big tech naar open source geen probleem, zolang er maar bewustwording is op wat er dan op je afkomt.[/quote]

Ja, dat is vaak het probleem. Die beslissingen worden dan door het management genomen, op basis van een artikel in het FD of een gesprek op een netwerkborrel. Niet gehinderd door enige kennis, moet alles dan ineens over naar iets dat er misschien helemaal niet klaar voor is. De meeste specialisten zijn doorgaans op al die grote namen getraind en hebben daar jaren ervaring mee.

Ik ben nergens tegen, behalve haastwerk en verkeerde afwegingen. OS kan een prima oplossing zijn, maar het is géén garantie voor probleemloos werken. Een OS oplossing kan alsnog gehackt worden.
Dat is nogal een algemene vraag. Citrix heeft erg veel producten, van een hypervisor (Xenserver) tot VDI oplossingen en netwerkproducten als de NetScaler lijn.

Kies er maar eentje uit in hun product matrix: https://www.citrix.com/support/product-lifecycle/product-matrix.html
zou dat het probleem verhelpen?
Ik verwacht van niet maar dat was ook niet de reden van m’n vraag. ;-)
Het leuke van Big Tech is dat ze een mooi compleet product aanbieden.

Als je dit zonder big tech wil doen zal je eens aantal componenten gewoon zelf aan elkaar moeten koppelen.

Container + Apache Guacamole + WAF bijvoorbeeld.
Proxmox of Virtualbox.

Maar het probleem is niet het product zelf, maar het onderhoud en ondersteuning.
Bor Coördinator Frontpage Admins / FP Powermod @Schway13 augustus 2025 11:21
Beide zijn hypervisors (van verschillende typen) en totaal geen vergelijkbaar product als een Netscaler. Dan zit je eerder in de buurt van het oude Xenserver. Daarbij is Citrix de merknaam waaronder een scala aan producten worden geleverd.

[Reactie gewijzigd door Bor op 13 augustus 2025 11:35]

Qubes op al je systemen? :X Nee opensource is leuk maar soms ook bij elkaar geraapt.
Proxmox en Virtualbox zijn wel even 2 verschillende producten. Ja de kunnen beide VM's draaien maar dan houd het op.
Proxmox is meer met VMware te vergelijken. En dan is het wel Proxmox VE vs VMware ESXi
Aangezien bijvoorbeeld proxmox ook andere software heeft.
XCP-ng bijvoorbeeld: xcp-ng.org

github: XCP new generation · GitHub

[Reactie gewijzigd door Falcon op 13 augustus 2025 11:13]

Dit is een hypervisor, dat zou Citrix Xen vervangen, niet Citrix Netscaler.
Klopt, de vraag werd ook breed gesteld
m’n vraag was vooral in lijn met de CVE..
succes zou ik zeggen :-)
Wie zegt dat je van big tech moet afstappen??
Tja.. ik heb soms mensen in mijn omgeving die daar zwaar van overtuigd zijn.

Voor mijn werk moet ik mij vooral conformeren aan de forum standaardisatie eisen en deze heeft open source als comply or explain eis.

Het zijn met dit soort producten en incidenten dat ik mij af vraag hoe dit eruit had gezien in het licht van “we moeten naar open source” .
Microsoft Azure -> Azure Bastion + Azure VPN + Azure Firewall + Azure Virtual Desktop + Azure VM's + Azure Storage etc etc.....

Het is maar hoe groot de zakken zijn van bedrijven en voor welk platform kies je (evt op basis van inhouse kennis van je IT-ers)

Ik zeg dat een mix van producten van diverse leveranciers evt zorgt voor een block in de chain op het moment dat 1 fabrikant/bedrijf de sjaak is.
Zijn die Microsoft Azure spullen open source dan?
Sorry over opensource heen gelezen ;(

Dan denk ik dat je veel producten bij elkaar moet schrapen om dezelfde functionaliteit als Citrix NetScaler te gebruiken -> ProxMox, PfSense om mee te beginnen.
NP. Uit de andere reacties moet ik dat ook al concluderen 😂
Opensource kan helpen bij verantwoording. Wie de code kan bekijken kan kritische vragen stellen op basis van de code. Maar zolang er weinig tot geen oplossing op de markt zijn is wat je minimaal moet doen om kritische vragen over het product en ontwikkeling te (blijven) stellen.

Fouten kunnen gemaakt worden. Maar het proberen te beperken hoort dan wel te blijken. Ik zie niet dat klanten en gebruikers heel kritisch zijn over de ontwikkeling en de fouten. Zeker met de enorme gevolgen die het kan hebben (en al heeft gehad) valt dat niet te verenigen. Dus eis op zijn minst opheldering wat ze precies nog aan oude code hebben en voorkom dat ontwikkelaars weg proberen te komen met loze beweringen hoe goed ze bezig zouden zijn. Als het niet uit de code kan blijken, dan uit gedegen onderzoeken.
Het probleem is over het algemeen niet de software welke wordt gebruikt, maar dat personen in organisaties veel meer rechten hebben dan noodzakelijk om hun werk te kunnen doen.

Onze klanten interesseert het hun helemaal niets of wij closed source of open source software gebruiken, als het maar werkt en binnen budget blijft. Netscaler is een zeer complete oplossing en je hebt een flinke verzameling van (semi) open source software nodig. Je kunt dan wel voor een deel de broncode van deze open source projecten inzien (voor HAProxy wil je bijvoorbeeld SSO kunnen indien, dus dat vereist een paid license met closed source code). Maar dat is natuurlijk slechts het halve verhaal. Die code zegt namelijk helemaal niets over de integratie van deze systemen, laat staan hoe ze zijn geconfigureerd.

Daarnaast moet je ook nog eens uitgebreide kennis hebben van al deze sub systemen en de configuratie daarvoor. Dit in tegenstelling tot Netscaler waarvoor je slechts 1 cursus nodig heb.
Bor Coördinator Frontpage Admins / FP Powermod @killercow13 augustus 2025 11:18
Een Netscaler is zeker niet "gewoon een proxy" maar een veel uitgebreider device inclusief load balancer, secure access gateway, VPN gateway en een veelvoud aan andere functionaliteit. Het product is enorm veelzijdig en dat is zowel de kracht als de zwakte (want een groter aanvalsoppervlak).

Als je denkt dat een Netscaler alleen een proxy is of dat het alleen om het ontsluiten van desktops gaat (veelal totaal niet) dan heb je het product nog nooit goed bekeken of gebruikt.

[Reactie gewijzigd door Bor op 13 augustus 2025 11:20]

Yup, want alles moet in 1 product anders werkt het niet ofzo...
Loadbalancing kan echt no way via nginx, of haproxy, en "secure access gateway" das gewoon marketingblaat voor een waf wat wederom in of achter je nginx proxy kan.


Maargoed, even op een rijtje dan:

https://docs.netscaler.com/en-us/citrix-adc/current-release/getting-started-with-citrix-adc/features/switching-and-traffic-management-features

SSL Offloading -> haproxy, nginx
Access Control Lists -> Nginx / nginx waf
Load Balancing -> haproxy, nginx
Traffic Domains -> you guessed it, nginx / haproxy
Network Address Translation -> iptables
Multipath TCP Support -> de linux kernel
Content Switching -> Nginx
Global Server Load Balancing (GSLB) -> nginx of competenter, knappe bgp announcements
Dynamic Routing -> de linux kernel
Link Load Balancing -> de linux kernel
TCP Optimization -> nginx, de linux kernel
CloudBridge Connector -> de linux kernel, wat config en wat tunnels.
DataStream -> nginx pro of nginx met wat lua scripts

https://docs.netscaler.com/en-us/citrix-adc/current-release/getting-started-with-citrix-adc/features/application-acceleration-features

AppCompress -> nginx / gzip
Cache Redirection -> nginx
AppCache -> nginx + redis / squid
TCP Buffering -> nginx

https://docs.netscaler.com/en-us/citrix-adc/current-release/getting-started-with-citrix-adc/features/security-and-firewall-features

Denial of service (DoS) attack defense -> de linux kernel, iptables, nginx
Content Filtering -> nginx waf
Responder -> nginx + lua
Rewrite -> lol, nginx
Surge Protection -> thread pools / workers op nginx
NetScaler Gateway -> configjes?
Application Firewall -> nginx waf
IP reputation -> iptables + blocklists

Wat is er nou zo speciaal aan de features? Behalve dat het 1 pakket is dat ongetwijfeld nog steeds wordt geïnstalleerd met mensen met jaren ervaring en een HBO opleiding?

Het voordeel van zelf de steentjes uitzoeken is dat je ook een backupplan kan maken met andere steentjes, en dat je zelf in control bent als het mis gaat of dreigt te gaan.
Het voordeel is dat je support hebt van een leverancier en dat je dus geen problemen hebt als je it'er die alles aan elkaar heeft geknoopt uit dienst gaat of langdurig ziek is ;)
Het OM heeft niet maar 1 it-er, het OM is ondanks die support al wel een maand offline.
Uiteraard heeft het OM meer dan één IT-er maar als je zelf alles bijeen gaat zoeken, heb je (uiteraard) continue mensen in dienst nodig die de juiste specialistische kennis hebben. Deze mensen zijn niet noodzakelijk gemakkelijk te vinden én nog te houden ook (de overheid in België werkt met vaste salaris-schalen en met weinig tot geen bijkomende voordelen. Ik veronderstel dat dit in Nederland gelijkaardig is).

Een leverancier die x-aantal jaar garandeert support te leveren is voor het bedrijfsleven betrouwbaarder dan een open source pakket dat in theorie op elk moment kan gestopt worden. Of dit terecht is, laat ik even in het midden.
Bor Coördinator Frontpage Admins / FP Powermod @killercow13 augustus 2025 13:09
En dat waren ze mogelijk met jouw setup mogelijk ook bij een incident van deze schaal. Het OM is niet offline omdat er een configuratie niet werkt maar omdat forensisch onderzoek complex is en lang duurt. Je wilt met zekerheid kunnen zeggen dat er geen ongewenste personen in het netwerk zitten, welke data mogelijk is ingezien of gestolen etc.

[Reactie gewijzigd door Bor op 13 augustus 2025 13:09]

Bor Coördinator Frontpage Admins / FP Powermod @killercow13 augustus 2025 11:47
Yup, want alles moet in 1 product anders werkt het niet ofzo...
Dat stelt helemaal niemand. Jij reduceert de Netscaler onterecht tot enkel een proxy om nu met een hele lijst aan (deel)oplossingen te komen. Je verplaatst de doelpalen opzettelijk.
NetScaler Gateway -> configjes?
8)7

Ja je kan de functies die een Netscaler biedt ook anders oplossen. In jouw voorbeeld heb je daar wel een meervoud aan producten voor nodig die je allemaal moet onderhouden, patchen en die ook allemaal kwetsbaarheden kunnen bevatten.
Probleem is dat er maar een minuscuul aantal mensen zijn die deze combinatie van individuele tools allemaal veilig kunnen configureren, aan elkaar knopen en onderhouden.
Met haproxy + keepalived (+ eventueel aangevuld met caching software) kom je een heel eind.
[...]

[Reactie gewijzigd door Verwijderd op 14 augustus 2025 02:47]

Voor de nu ontdekte aanvallen op deze Citrix-kwetsbaarheden zijn indicators of compromise (ioc’s) opgesteld. Onderzoek bij getroffen organisaties levert nog steeds nieuwe ioc’s op. Detectie van eventuele geplaatste webshells kan met een script dat het Nederlandse NCSC heeft gemaakt. Dat script is op 21 juli openbaar gepubliceerd op GitHub en sindsdien meerdere keren bijgewerkt.
Ligt het aan mij, of is er nog nooit een update geweest van dit script?
Het script heeft ondertussen versie 1.7, dus deze is zeker wel bijgewerkt en 3 weken terug beschikbaar gemaakt voor het publiek.

Ik kan mij enorm goed voorstellen - gezien de TLP verwijzing - dat eerdere revisies van het script zeer beperkt is vrijgegeven aan organisaties om hun Netscaler te controleren op IOC's.
Jawel dat script is een aantal keer herzien.

Overigens vind ik de output (en tests) van dit script een stuk beter: https://jantytgat.com/posts/netscaler/security/indicators-of-compromise/
edit:
Een uur geleden is hij weer bijgewerkt. En zijn er extra scripts door het NCSC geupload

[Reactie gewijzigd door lolgast op 13 augustus 2025 13:17]

Ncsc heeft vanmorgen aangegeven dat ze 2 extra script hebben toegevoegd aan de git repo naast de eerder checks.

https://github.com/NCSC-NL/citrix-2025
thanks voor de 3 reacties.

Ik had gezien dat qua versie het niet de intieele versie was, ik ging er echter vanuit dat er de afgelopen weken aanpassingen/aanvullingen waren geweest.

Zoals Woohoo hier nu ook post.
Als OM hun toko veilig wil houden zullen ze zodanig moeten reorganiseren dat vertrouwelijke informatie offline wordt opgeslagen op hardware die geen enkele internet of telefonie connectie heeft.
Dan moeten de medewerkers met papieren dossiers op pad. Vast veel veiliger....
En dus gaat de informatie op USB-Sticks, liefst zonder encryptie want dat is lastig. Heel handig om te verliezen in het OV oid.
Organisaties krijgen het advies hun cyberweerbaarheid te verhogen door zogeheten defense-in-depthmaatregelen te nemen voor hun ict-beheer.
Dit dus. Voor lekkende gebruikers vinden we Tweefactorauthenticatie al jarenlang heel normaal.

Waarom wordt dit principe dan niet gehandhaafd voor lekkende infrastructuur en gebruiken we enkellaag-oplossingen als Citrix NetScaler? (retorische vraag, antwoord: geld)
Normaal gesproken heb je ook defense in depth (na Netscaler komt sowieso de applicatie zelf bv), daarom is ook niet elke Netscaler gebruiker gehacked. Maar blijkbaar waren er ggenoeg die hun 2e/3e/4e laag ook niet in orde hadden.
Niet de eerste keer dat Citrix issues heeft. Bron Tweakers - 2022
edit:
Tweaker=Tweakers

[Reactie gewijzigd door DefaultError op 13 augustus 2025 11:17]

Tja. Welk Merk/device of Open Source product heeft dit niet gehad.

Wat ik dan weer veel belangrijker vindt is de support en persoonlijk kan ik zeggen dat, dat heel goed zit bij Citrix. Heb met veel andere grote partijen veel mindere goede ervaringen, ondanks goed afgesloten afspraken.
Zou E2EE samen met database encryptie dit soort problemen niet oplossen? Of zijn de encryptiessleutels gewoon te gebruiken als je eenmaal ‘binnen’ bent? Asking for a friend..
Regelmatig vraag ik mij af, of alles wel via het Internet toegankelijk moet zijn, net zoals wat er in Rijswijk is gebeurt. Kan het niet zo zijn dat belangrijke en gevoelige data, alleen toegankelijk is voor iemand binnen het betreffende pand?

Ja, je verlies enorm veel flexibiliteit, maar weegt zoveel flexibiliteit wel op tegen de gevaren van datalekken van (zeer) gevoelige informatie?

De data wat buit is gemaakt bij het laboratorium in Rijswijk, dat is niet niks en net zoals bij het OM.


Om te kunnen reageren moet je ingelogd zijn