Aanvallers hebben kwetsbaarheden in Citrix NetScaler veel eerder misbruikt dan aanvankelijk leek en hebben hun sporen gewist. Het Nederlandse NCSC doet nog onderzoek, maar trekt al een conclusie: niet alle vragen over de aanvallen kunnen worden beantwoord.
Uit forensisch onderzoek bij getroffen organisaties blijkt dat de kwetsbaarheden begin mei voor het eerst zijn misbruikt, meldt het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid. Het onderzoek naar de Citrix-kwetsbaarheden die onder meer het Nederlandse Openbaar Ministerie hebben geraakt, loopt nog. Een conclusie trekt het NCSC al wel: niet alle vragen kunnen worden beantwoord.
Het NCSC is op 16 juli misbruik op het spoor gekomen van een kwetsbaarheid in de NetScaler-producten van Citrix. Later bleken er meerdere kwetsbaarheden te zijn, die ook werden misbruikt. Kwaadwillenden hebben die benut om via deze Citrix-netwerksystemen hackaanvallen uit te voeren.
Daarmee zijn de aanvallers ruim een maand eerder geweest dan het beveiligingsadvies dat het NCSC op 18 juni heeft gepubliceerd. Dat advies ging over de kwetsbaarheid CVE-2025-5349 in Citrix NetScaler ADC. Leverancier Citrix heeft op 25 juni een beveiligingsadvies gepubliceerd over een andere kwetsbaarheid: CVE-2025-6543.
Het NCSC heeft toen ook gewaarschuwd voor dat beveiligingsgat, dat naast NetScaler ADC (Application Delivery Controller) ook NetScaler Gateway raakt. Daarnaast speelt een derde kwetsbaarheid mee: CVE-2025-5777. Deze kwetsbaarheden zijn niet op alle kwetsbare Citrix-systemen noodzakelijkerwijs misbruikt.
Sinds het detecteren van misbruik is er veel onderzoek gedaan naar deze cyberaanval, aldus het NCSC. "Er is nog veel onzekerheid over welke organisaties gecompromitteerd zijn, of de actor nog actief is en wat de impact is van deze aanvallen. Het onderzoek zal nog blijven voortduren, maar inmiddels kan er geconcludeerd worden dat mogelijk niet al deze vragen beantwoord kunnen worden."
In Nederland zijn meerdere kritieke organisaties succesvol aangevallen via de kwetsbaarheid CVE-2025-6543 in Citrix NetScaler, meldt het NCSC. Het Nederlandse Openbaar Ministerie is een van de geraakte organisaties en heeft de noodmaatregel getroffen om zichzelf offline te halen. Sinds afgelopen donderdag is het OM weer bereikbaar per e-mail.
Volgens het NCSC zijn de aanvallen ‘het werk van een of meerdere actoren met een geavanceerde werkwijze’. De indringers hebben niet alleen de Citrix-kwetsbaarheid misbruikt als zeroday (dus voordat er een patch beschikbaar was), maar ook actief hun 'sporen gewist om compromittatie bij de getroffen organisaties te verbergen'. "Dit maakt forensisch onderzoek uitdagend."
Op basis van die ontdekking in het nog lopende onderzoek trekt het NCSC alvast een harde conclusie: mogelijk kunnen niet alle vragen over deze digitale aanvallen worden beantwoord. Het gaat dan om de vraag welke organisaties gecompromitteerd zijn, of de aanvallers nog actief zijn en wat de impact is van de aanvallen.
NetScaler-leverancier Citrix heeft patches uitgebracht om de kwetsbaarheden te verhelpen, maar dat helpt niet als aanvallers al binnen zijn gekomen. Zij kunnen dan webshells hebben geplaatst waarmee ze later opnieuw toegang hebben tot gecompromitteerde systemen. "Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen", waarschuwt het NCSC.
Organisaties krijgen het advies hun cyberweerbaarheid te verhogen door zogeheten defense-in-depthmaatregelen te nemen voor hun ict-beheer. Die aanpak helpt niet alleen tegen deze specifieke aanval, geeft het NCSC aan, maar maakt ook vergelijkbare aanvallen via nieuwe, nog onbekende kwetsbaarheden beter af te weren.
Voor de nu ontdekte aanvallen op deze Citrix-kwetsbaarheden zijn indicators of compromise (ioc’s) opgesteld. Onderzoek bij getroffen organisaties levert nog steeds nieuwe ioc’s op. Detectie van eventuele geplaatste webshells kan met een script dat het Nederlandse NCSC heeft gemaakt. Dat script is op 21 juli openbaar gepubliceerd op GitHub en sindsdien meerdere keren bijgewerkt.
Als een beheerder of beveiligingsexpert ioc’s aantreft in een organisatie, is volgens het NCSC vervolgonderzoek nodig 'om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden'. "Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning."