Citrix waarschuwt voor nieuwe actief misbruikte kwetsbaarheden in NetScaler

Citrix waarschuwt in een beveiligingsbulletin van vandaag voor nieuwe kwetsbaarheden in zijn NetScaler-producten. Aanvallers maken hier al misbruik van. Kwetsbaarheden in deze netwerkproducten zijn recent al misbruikt, met het Nederlandse OM als een van de slachtoffers.

ICT-leverancier Citrix meldt in een vandaag gepubliceerd beveiligingsbericht dat er meerdere kwetsbaarheden zijn ontdekt in NetScaler ADC, ofwel application delivery controller, en NetScaler Gateway. Het gaat om twee gevallen van een geheugenoverflow en een geval van ongepaste toegangscontrole. De drie kwetsbaarheden zijn aangeduid met de kwetsbaarhedennummers CVE-2025-7775, CVE-2025-7776 en CVE-2025-8424. Aanvallen op die eerstgenoemde zijn al waargenomen, meldt Citrix.

De kwetsbaarheid CVE-2025-7775 krijgt het hoge cijfer 9,2 op basis van de CVSSv4-indeling voor hoe groot het gevaar van misbruik is en de impact daarvan. De tweede en derde genoemde kwetsbaarheden scoren iets lager: respectievelijk een 8,8 en een 8,7. Daarmee zijn die beveiligingsproblemen in NetScaler-systemen nog altijd ernstig.

Citrix meldt dat alle ADC- en Gateway-apparaten met softwareversies ouder dan 14.1-47.48 kwetsbaar zijn. Voor de voorgaande softwaregeneratie gaat het om softwareversies voor 13.1-59.22. Klanten krijgen het dringende advies om hun systemen bij te werken met de nieuwste releases die Citrix beschikbaar stelt. De leverancier merkt nog op dat versies 13.0 en 12.1 niet langer worden ondersteund. Klanten die nog op die oude versies zitten, krijgen het advies om hun systemen te upgraden naar een softwareversie die wel ondersteuning krijgt voor een verdere update naar bescherming tegen de nieuwe kwetsbaarheden.

Naast de bovengenoemde NetScaler-systemen zijn ook speciale uitvoeringen van die netwerkproducten geraakt door de nu onthulde kwetsbaarheden. Het gaat om uitvoeringen voor gebruik door de Amerikaanse federale overheid, waarvoor extra eisen gelden.

Eerder was OM slachtoffer

Eerder deze maand werden andere NetScaler-kwetsbaarheden misbruikt door aanvallers. Onder meer het Nederlandse Openbaar Ministerie is daarbij geraakt en heeft zichzelf offline gehaald. Het Nationaal Cyber Security Centrum van de Nederlandse overheid heeft daarna uit onderzoek hiernaar een ontdekking gedaan en daarop een harde conclusie getrokken.

Aanvallers blijken die eerdere kwetsbaarheden in Citrix' producten begin mei al te hebben misbruikt. Dat is een maand vóór de ontdekking daarvan. Naast dat feit staat de constatering uit forensisch onderzoek dat de aanvallers actief hun sporen hebben gewist 'om compromittatie bij de getroffen organisaties te verbergen'.

Terwijl het Nederlandse NCSC de zaak nog onderzoekt, heeft het al de conclusie getrokken dat niet alle vragen over de aanvallen kunnen worden beantwoord. Het gaat dan om welke organisaties gecompromitteerd zijn, of de aanvallers nog actief zijn en wat de impact is van de aanvallen. Tweakers heeft vragen uitgezet over de drie nieuwe kwetsbaarheden die Citrix nu meldt.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 26-08-2025 16:03
99 • submitter: Rolfie

26-08-2025 • 16:03

99

Submitter: Rolfie

Lees meer

Secret Service ontmantelt crimineel netwerk dat 5G-netwerk van NY kon platleggen
Secret Service ontmantelt crimineel netwerk dat 5G-netwerk van NY kon platleggen Nieuws van 23 september 2025
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn Nieuws van 8 september 2025
NCSC waarschuwt voor malvertising via Manualfinder en pdf-bewerkers
NCSC waarschuwt voor malvertising via Manualfinder en pdf-bewerkers Nieuws van 30 augustus 2025
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op Nieuws van 27 augustus 2025
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek Nieuws van 27 augustus 2025
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking Nieuws van 13 augustus 2025
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen Nieuws van 29 juli 2025
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt Nieuws van 23 juli 2025
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek Nieuws van 21 juli 2025
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Politiek en recht Citrix Citrix ADC Citrix Gateway Hack Hackers Security

Reacties (99)

-Moderatie-faq
99
98
44
1
0
45
Wijzig sortering

Sorteer op:

Weergave:
holygame 26 augustus 2025 16:12
Kan iemand mij uitleggen waarom bedrijven dit systeem niet achter hun VPN hebben ipv direct aan het internet?
Sluuut @holygame26 augustus 2025 16:37
Dat bied onvoldoende bescherming, VPN oplossingen zoals SonicWALL hebben ook gewoon hun CVE's en zijn ook kwetsbaar voor inbraken, zelfs zonder authenticatie (https://psirt.global.sonicwall.com/vuln-list)

Het is wel goed om layered security toe te passen maar dat wil niet zeggen dat je dan afgedekt bent. Er is geen oplossing die 100% hacks tegenhoud, uitendelijk is iedereen en alles hackbaar. Naast beveiliging aan de voorkant is tegenwoordig ook detectie & response nodig om zo snel als mogelijk te kunnen acteren.
GertMenkel
@Sluuut26 augustus 2025 17:51
Een simpele VPN als buitenschil maakt het een stuk lastiger voor aanvallers om bij de kwetsbare endpoints aan te komen.

Bij Netscaler is "kwetsbaar endpoint" nu tot twee keer toe "de basale loginfunctie" geweest die op verzoek willekeurig geheugen lekte, dus onderhand kun je je afvragen of het niet beter is om maar voor de zekerheid een extra laag toe te voegen.

Ik snap wel dat organisaties en bedrijven niet een VPN willen opzetten om hun VPN te beveiligen natuurlijk, maar met de complexiteit en ogenschijnlijke codekwaliteit van Netscaler zou ik het niet eens een slecht idee meer vinden.
AddictIT @GertMenkel26 augustus 2025 22:59
De login-pagina is bij elke SSL-gebaseerde VPN/Remote Access oplossing de zwakste schakel.

Maar er is een reden dat er SSL-based VPN gebruikt worden tov IPSec, namelijk gebruiksgemak en flexibiliteit. Gevalletje User Experience <-> Security.
m3gA @Sluuut26 augustus 2025 17:28
Een netscaler is een network appliance. Dus deze hangt rechtstreeks aan je internet. Afhankelijk van wat je aan functies gebruikt (mede afhankelijk van licenties) is een heel scala aan functies mogelijk, vpn, vdi gateway, reverse proxy en nog veel meer.
themadone @Sluuut26 augustus 2025 18:23
Dit, stel je niet de vraag hoe wordt ik gehackt, maar hoe beperk ik de schade, verhoog ik de auditing en deal ik in het ergste geval met een restore etc.

Je komt al snel uit bij zware netwerksegmentering, maar ook zaken als mdr/edr worden nog bedroevend vaak vergeten.

Ze komen binnen via Citrix, ja dat gebeurt vaker helaas, maar dat hoort erbij als je software maakt die direct aan internet hangt. Niets is 100% veilig.

Waar het wat mij betreft misgaat is dat na de eerste compromise er nog best wel wat stappen genomen moeten worden om lomp een hele database te kunnen dumpen, en al die tussenstappen had je kunnen/moeten detecteren en mitigeren.
nelizmastr @holygame26 augustus 2025 16:17
Omdat veel bedrijven remote werkers een thin client meegeven en zeggen "succes ermee" en die mensen geen vpn software op de thin client krijgen maar alleen een koppeling met de storefront via de netscaler.

M.a.w. het is meer werk en de meeste bedrijven die nog Citrix draaien zijn niet van het dynamische of van het werken voor je geld :+
Sylves @holygame26 augustus 2025 16:18
Dat ligt een beetje aan de manier waarop er gebruik wordt gemaakt van bijv. van een Citrix VDI. Netscaler is een toegangspoort tot zo’n virtuele desktop omgeving. Als je thuis wilt werken zou je dan ook met je privé computer kunnen inloggen. Dan hoeft een werkgever niet overal zakelijke laptops of pc’s uit te delen waar een VPN op actief is. Scheelt weer in de kosten en gemak van toegang.
Remz @holygame26 augustus 2025 16:19
Dit is in vele gevallen de VPN. Citrix ADC/Netscaler is een appliance die toegang tot Citrix omgevingen kan geven, websites of als VPN device kan worden ingezet.
DdeM @holygame26 augustus 2025 16:21
Omdat ze niet alleen intern gebruikt worden? In geval van OM word het systeem ook gebruikt door externe partijen zoals advocatenkantoren. In zo'n geval leverd alles achter een VPN niet perse meer veiligheid op.
Woohooo @holygame26 augustus 2025 16:37
Je moet ergen een voordeur hebben om remote te kunnen werken. Of het nou een classic VPN is of Netscaler of een combi.
c-nan @holygame26 augustus 2025 17:15
Je moet ergens een ingang hebben en in sommige gevallen is dat de NetScaler. Daarnaast is het niet alsof een VPN 100% bug/explot vrij is.

Of het nou VPN is, een firewall, of NetScaler, je hebt altijd een ingang nodig.
ZinloosGeweldig @holygame26 augustus 2025 17:44
En als er daar een kwetsbaarheid in ontdekt wordt, gaan we zeker vragen waarom bedrijven deze VPN niet achter nog een ander toegangsverleningssysteem hebben gezet.

Dan kan je denken "ja, mooi toch, pas het zwitserse kaas model toe", maar in het geval van netwerkbeveiliging ben je ook weer je aanvalsoppervlakte aan het vergroten.

Veelal zal product B, de kwetsbaarheid in product A niet voorkomen. En nu heb je dus te maken zowel product A als product B dat kwetsbaarheden kan hebben.
Rolfie @holygame26 augustus 2025 19:28
Juist de NetScaler is hiervoor gemaakt, omdat Citrix "secure" op het Internet aan te bieden.

VPN's hebben trouwens ook de nodige grote security risico's tegenwoordig.
Citrix icm VPN is helemaal verre van optimaal.
-Colossalman- @Rolfie26 augustus 2025 19:59
Sslvpn vooral, ipsec is volgens mij nog redelijk te doen. Maar als je endpoint aan het internet hangt zoals de netscalers dan is het maar de vraag waar het lek ligt. In dit geval een remote code execution door een memory overflow. Helpt een vpn dan?
Rolfie @-Colossalman-26 augustus 2025 20:03
ipsec gaan lastig door firewalls, iets wat ssl VPN's als groot voordeel hebben.
-Colossalman- @Rolfie26 augustus 2025 20:12
Wij hebben meerdere ipsec verbindingen, geen probleem. Kunde is misschien een ding. Ipsec gebruikt ook gewoon standaard poorten ipv 1 zoals sslvpn
Erikkamm @holygame26 augustus 2025 23:49
Een VPN achter een VPN? Je bouwt in veel gevallen een vpn op naar de netscaler. Vaak staat deze wel achter een firewall, maar dat helpt je niet. Het apparaat is wel een beetje achterhaald.

Wij hebben het apparaat al een paar jaar geleden uitgefaseerd. Vervangen door wen VPN oplossing die termineert op de firewall. Maar ook die moet regelmatig worden ge-update. Maar dat moet je met alles dat aan het internet hangt. Echter is de netscaler al jaren met grote regelmaat kwetsbaar. Ik weet niet hoe het met de huidige software is, maar met de oudere versie moest je ook erg opletten met upgraden, want dan werden alle oude protocollen en ciphers die uitstonden weer aan gezet en moest je handmatig weer uit zetten. Dus insecure by design. Er zijn maar weinig use cases waarbij het apparaat nog nuttig is. Er zijn inmiddels betere oplossingen.
wildhagen
26 augustus 2025 16:12
Het is serieus te hopen dat organisaties (zoals, maar uiteraard niet uitsluitend) als het OM van eerdere incidenten geleerd hebben, en nu de patches asap zullen installeren, om verdere ellende te voorkomen.

Ja, dat kan eventueel downtime opleveren (wat je weer deels kan opheffen door je Netscaler redundant uit te voeren), maar aangezien het al wordt exploit, is het andere alternatief een hack met potentiële datalekken etc. Dat lijkt me ook niet wenselijk.
R_Zwart @wildhagen26 augustus 2025 18:33
Het zijn geen simpele PC applicaties die op iedere PC hetzelfde zijn. Iedere installatie/architectuur is anders dus iedere organisatie doet er goed aan om patches eerst goed te testen in hun test- en acceptatieomgeving voordat het in productie wordt genomen. Liever extra testen dan te snel in de productieomgeving installeren.
-Colossalman- @R_Zwart26 augustus 2025 20:04
Volgens mij gaat dit niet op voor apparatuur van Citrix. Zo snel mogelijk patchen. Desnoods eerst de primaire node en de secundaire op de oude firmware laten zodat je terug kunt vallen.
CPM @-Colossalman-26 augustus 2025 20:32
Precies, gewoon patchen en hopen dat het goed gaat. Andere keuze is offline gaan of risico lopen om gehackt te worden.

Ik denk dat er snel carte blanche komt voor beheer voor dit soort zaken als ze wijzen op de risico's.
useruser @wildhagen26 augustus 2025 17:16
In het geval van het OM wordt hierboven dus ook gezegd dat ze gehackt zijn voordat de kwetsbaarheid überhaupt bekend was. Zogenaamde zero day dus. Daar kun je als organisatie heel weinig tegen doen.

Veel genoemde ideeën zoals geo blokkade zijn ook hopeloos naïef, kwaad kan het niet echt maar de meeste serieuze aanvallers pakken een vps in het doelwit land.
Baardmeester @wildhagen26 augustus 2025 18:26
De cve's uit juni waren zerodays en daarvan werdt in mei al misbruik gemaakt.

https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid
-Colossalman- @Baardmeester26 augustus 2025 20:18
Iets doet mij vermoeden dat dit hier ook het geval is. Aangezien wij in de ochtend al bericht kregen dat er een patch zat aan te komen die meteen geïnstalleerd moest worden 😉
jpsch @wildhagen26 augustus 2025 16:40
Patches asap zullen installeren. Zoiets als Crowdstrike? Eerlijk is eerlijk, ook de hackers kwamen niet bij de data.
GertMenkel
@jpsch26 augustus 2025 17:58
Dit is een exploit die actief wordt uitgebuit. Als je kwetsbaar bent en nog niet gehackt bent, is het een race tegen de klok voordat geautomatiseerde botnets dat vannacht wel zullen doen. Bepaalde haast is wel geboden, helemaal als zelfs Citrix toegeeft dat er misbruik van het lek wordt gemaakt.

Een eerdere memory overflow werd als DoS aangemeld terwijl het eigenlijk een RCE-kwetsbaarheid was, dus ik zou voorzichtig zijn met het uitstellen van de patch.
-Colossalman- @GertMenkel26 augustus 2025 20:01
Wij kregen vanochtend een heads-up en toen de patch vanuit Citrix kwam(14.00) was deze binnen een half uur geïnstalleerd. Nu maar afwachten wat de IOC's(Indicators of compromise)worden.
oltk @-Colossalman-26 augustus 2025 21:20
Op de interne NCSC site wordt al een IoC script aangeboden. Ik ben ook benieuwd of dat afdoende is, want bij de vorige vulnerability werden er bijna elke dag nieuwe scripts aangeboden.
supersnathan94
26 augustus 2025 16:09
Aha. Dus een nieuwe Zero day die bij het OM dus in het wild is gebruikt. Interessant wel, want dat wijst er dus op dat het patchen en de hele citrixbleed 2.0 dus niet relevant was en dat we nu een mogelijke bleed 3.0 op handen hebben.
ZinloosGeweldig @supersnathan9426 augustus 2025 17:40
De "Bleed" aanduiding, wijst erop dat het gaat over een kwetsbaarheid waar (een deel van) het geheugen (ruw) gelekt wordt naar een niet geauthenticeerde gebruiker. Dat zie ik in deze kwetsbaarheden niet terug.
Tralapo @supersnathan9426 augustus 2025 18:12
Ik lees in dit bericht niet dat de nieuw aangekondigde kwetsbaarheden ook al misbruikt zijn bij het OM.
Wel die van eerder deze zomer.
Rolfie @supersnathan9426 augustus 2025 19:27
Deze is helemaal niet bij het OM gebruikt, of tenminste, tot zover bekend en is en wij weten.
TheGabeMan 26 augustus 2025 16:08
Ah gelukkig, we begonnen ons al te vervelen zo zonder spoed patches :-)
synoniem @TheGabeMan26 augustus 2025 16:37
Prio 1 security dus direct installeren. We weten inmiddels hoe snel deze systemen binnengedrongen worden als de kwetsbaarheid eenmaal bekend is.
Pinkys Brain 26 augustus 2025 17:25
Twee overflows en en de access control van de admin interface. By the power of C programmers and web monkeys combined.

Als je als bedrijf nu nog niet een VPN geprogrammeerd in een veilige taal gebruikt en de admin panels niet nog eens extra beschermt voor toegang vanaf het (interne) netwerk, doe je het fout.
DigitalExorcist 26 augustus 2025 17:40
En de belangrijkste vraag… hoe sporen we de nieuwste IOCs op??
Megupe 26 augustus 2025 17:13
Vanwege mijn werk heb ik thuis citrix/netscaler om thuis te kunnen werken.

Moet ik mij zorgen maken dat mijn PC mogelijk kwetsbaar is?
wildhagen
@Megupe26 augustus 2025 17:17
Nee, Netscaler heb jij niet thuis draaien. Dit is de serverside component. Die draait in het netwerk, dus de IT afdeling beheert die (of uitbesteedt aan externe partij uiteraard) en zij moeten die ook updaten

Wat jij thuis hebt draaien is de Citrix Workspace App (voorheen Citrix Receiver geheten). Dat is de cliënt die je gebruikt om een Citrix sessie op te bouwen. Deze is door deze lekken niet geraakt.
Megupe @wildhagen26 augustus 2025 21:12
Dank beide voor het antwoord :)
c-nan @Megupe26 augustus 2025 17:19
Thuis heb je waarschijnlijk geen NetScaler draaien, enkel als client, dus geen luisterende poorten.
-Colossalman- @Megupe26 augustus 2025 20:11
Je hebt geen netscalers thuis draaien, en als je dat wel doet dan zou je deze vraag niet moeten stellen
arnova 26 augustus 2025 16:12
Ik snap niet zo goed waarom we dit soort diensten massaal openzetten voor het internet met alle risico's vandien. Dat moet toch beter kunnen?

[Reactie gewijzigd door arnova op 26 augustus 2025 16:12]

Webgnome @arnova26 augustus 2025 16:27
jij snapt niet dat een dienst, die bedoelt is om remote te benaderen, open naar het internet word gezet?
arnova @Webgnome26 augustus 2025 16:53
Natuurlijk snap ik dat wel. Misschien had ik moeten opschrijven "hele internet". Om maar iets simpels te noemen: waarom zou iemand vanaf een ip adress in Rusland hierbij moeten kunnen? En je kan ook met een firewall alleen bepaalde IP blokken toelaten.
DohnJoe @arnova26 augustus 2025 17:09
Hackers maken vaak gebruik van meerdere tussen-servers, gecombineerd met VPN, alvorens ze de te hacken server aanvallen. Dus IP regio’s blokkeren heeft weinig zin.
guillaume @DohnJoe26 augustus 2025 17:28
IP-blokken inderdaad niet, maar er zit wel wat in om de toegang zo te beperken. Het zou bijvoorbeeld een idee zijn om gebruikers eerst altijd te laten inloggen op een portal met 2FA, waarna het IP voor die specifieke gebruiker voor een bepaalde tijd is gewhitelist.
ZinloosGeweldig @guillaume26 augustus 2025 18:11
Maar voordat je dat portal met 2FA mag bereiken, moet je natuurlijk wel even met een VPN verbinden.

En voordat dat mag, moet je...

Je kan poortjes op elkaar blijven stapelen, maar veelal komt dat de veiligheid niet ten goede.
guillaume @ZinloosGeweldig26 augustus 2025 18:44
Ik begrijp je punt, maar sommige dingen zijn echt nog wel nuttig om (nog) onbekende lekken redelijkerwijs af te vangen.
ZinloosGeweldig @guillaume26 augustus 2025 18:55
Een gateway voor je diensten zetten, die elk andere vulnerabilities hebben, is zeker nuttig. Maar dat is juist de rol van de Citrix Netscaler. Een scala andere producten achter één poort zetten.

Die poort vervangen voor een seriële keten van poorten is maar de vraag of je niet je aanvalsoppervlak eigenlijk aan het vergroten bent. En nu moet je X extra security producten beheren (en betalen). Met het complexer maken van de beveiliging, ben je ook nog eens de kans op human error aan het vergroten.

Daarnaast is de kans groot dat in de meeste organisaties de business die extra hoepels ook niet accepteert.

[Reactie gewijzigd door ZinloosGeweldig op 26 augustus 2025 18:56]

DigitalExorcist @ZinloosGeweldig26 augustus 2025 20:40
Gewoon alles achter een Zerotier verbinding hangen. Onzichtbaar vanaf het internet.
MischaBoender @DigitalExorcist27 augustus 2025 09:38
ZeroTier heeft toch een HTTP based controller waar je client tegen authenticeert en waar de configuratie vandaan komt?
DigitalExorcist @MischaBoender27 augustus 2025 13:10
HTTPS, maar inderdaad, je authenticeert éénmalig je client (al dan niet automatisch via een API) en that's it. Maar de controller kún je desgewenst ook zelf hosten. Het mag ook die van ZeroTier zelf zijn.

Van mijn part mag je ook TailScale gebruiken hoor. Dat is om het even natuurlijk. Maar je infra achter ZeroTier hangen maakt het feitelijk ´onzichtbaar´ vanaf het internet als je hun eigen hosted controller gebruikt. Er staan nergens poorten naar binnen toe open, alles hoeft alleen maar uitgaand te zijn op bepaalde poortranges en het werkt.

[Reactie gewijzigd door DigitalExorcist op 27 augustus 2025 13:11]

MischaBoender @DigitalExorcist28 augustus 2025 10:09
Dan verleg je alleen het probleem van de Netscaler naar de ZeroTier / Tailscale controller. Wat als daar een vulnerability in wordt gevonden? Gaan we daar dan weer iets voor zetten om de controller "onzichtbaar" te maken vanaf het internet?
DigitalExorcist @MischaBoender28 augustus 2025 11:57
Voor zover ik weet gebruik je de controller alleen maar voor het authenticeren van je agents. Zodra dat eenmaal gebeurd is maken ze onderling verbinding zonder die controller.

Je kan die, weliswaar met wat moeite, ook zelf hosten en dus beperkt beschikbaar stellen als je dat zou willen.
Rolfie @guillaume26 augustus 2025 20:04
Sommige IP's kunnen heel snel veranderen, hoe had dit dit precies in geachte als oplossing?

Ook erg complex voor gebruikers.
SunnieNL @arnova26 augustus 2025 17:06
Omdat dat niets oplost, want de persoon in Rusland zal zeer waarschijnlijk niet het IP in rusland gebruiken maar via gehackte devices in NL al de aanval inzetten.
Het is een extra horde die redelijk makkelijk omzeilt wordt.
(wat overigens niet inhoud dat je dat idd niet zou moeten configureren.. want dat zou ik nog steeds doen. Maar het probleem is daarmee niet weg)

[Reactie gewijzigd door SunnieNL op 26 augustus 2025 17:06]

Mellow Jack @arnova26 augustus 2025 17:17
Het is inderdaad een goede vraag. Het blijft altijd een combinatie van veiligheid, gebruikersgemak en budget.

Vrijwel alle producten bevatten beveiligings lekken en niet elk product is overal even goed in. Vanwege de beperkte budgetten zoeken klanten zoveel mogelijk een alles in 1 oplossing en daar komen de problemen.

Dan krijg je vanzelf situaties waar bijv eindgebruikers en beheerders dezelfde vpn oplossing gebruiken of bijv een web application firewall wordt misbruikt voor database verkeer. etc etc etc.

Zonder de inhoud te kennen is dat hetgeen wat me het meest verbaasd aan de OM situatie waar de hele organisatie tot stilstand is gekomen. Dit kan tientallen oorzaken hebben maar 1 vd oorzaken kan zijn dat ze hun hele verbinding met de buitenwereld hebben gebaseerd op 1 technologie oplossing. Je bent relatief snel kwetsbaar als je vrijwel alle features van een product inzet.
rob12424 @arnova26 augustus 2025 17:26
Dan Spoofen ze IP en daarnaast het macadressen. Hangen die aan een container en klaar. En daar is zelfs geen AI voor nodig. Gewoon scripten.

Velen hebben een hekel aan loggen. Maar een goede IDS is het halve werk.

Als ik systeem beheerder was wist ik het wel. Laat de CTO en CEO en paar anderen documenten aanmaken met namen als vertrouwelijk/confidential. Enz. En als honeypot dienen.
MischaBoender @rob1242428 augustus 2025 10:17
Mac adres spoofen is redelijk zinloos, 1 hop en je bent het kwijt. IP spoofen kan in theorie wel, maar ook dan ga je niet ver komen. Je kunt namelijk geen sessie opzetten met een spoofed IP adres, wat bij de meeste RCE vulnerabilities wel nodig is (of je moet al ergens MITM zijn).
-Colossalman- @arnova26 augustus 2025 20:08
Daar heb je firewalls voor en uiteraard zijn die in place. Bulletproof, eigen blacklist(mag tegenwoordig niet meer dus denylists voor niet vertrouwde landen). Het is nooit een zekerheid maar zorg er voor dat je voorbereid bent. Ik snap dat niet iedereen de capaciteit heeft maar patch zo sn l mogelijk, desnoods half zodat je eventueel nog terug kunt vallen op je oude firmware secondary node.
CPM @-Colossalman-26 augustus 2025 20:39
Precies. Of je rust iedereen uit met een corporate device met een simkaart die op een privé netwerk zit via een provider zodat er geen sprake ik van apparatuur aan "internet". En met leveranciers richt je maar een site 2 site VPN in of een andere manier van koppelen.
Remz @arnova26 augustus 2025 16:21
Je zal ergens je ontsluiting naar internet moeten maken. Dit soort devices zijn juist bedoelt om dit veilig te kunnen doen. Je kan natuurlijk nog delen van het internet blokkeren middels geoblocking, maar dit is ook niet heilig en is een balans tussen hoe moeilijk je het je werknemers maakt om vanuit het buitenland te werken versus hoeveel het een hacker afschrikt. Een hacker kan ook prima via een Nederlandse VPN je systeem in.
Rolfie @arnova26 augustus 2025 19:30
Juist de Citrix NetScaler is hiervoor bedoelt om Citrix "veilig" op het Internet aan te bieden.
DigitalExorcist @arnova26 augustus 2025 20:39
Netscaler zou juist die betere oplossing moeten zijn ;)
HollowGamer 26 augustus 2025 16:38
Misschien moet er eens gekeken worden of Citrix nog wel moet worden gebruikt.
nextware @HollowGamer26 augustus 2025 16:48
Weet jij goede alternatieven die vanuit één omgeving goed beheerd kunnen worden zonder 100 verschillende software packages te installeren?

Updates worden as we spreak uitgevoerd. Via de Netscaler ADM is dat een stuk eenvoudiger geworden.

[Reactie gewijzigd door nextware op 26 augustus 2025 16:51]

SunnieNL @HollowGamer26 augustus 2025 17:10
Ga je Microsoft dan ook wegdoen? Daar zitten per maand meer CVE's in Windows 10 of 11 dan bij Citrix elk jaar.

Citrix is een bedrijf met meer dan 10 productlijnen. Voordat je dit soort opmerkingen maakt moet je eerst kijken waar we het over hebben. Daarna ga je kijken naar alternatieven. Praten we over de netscaler, dan wens ik je veel success met een alternatief vinden die de afgelopen jaren geen CVEs hebben gehad die prio 1 gepatched moesten worden. En mocht je die wel denken te vinden, dan is de vraag of zo'n bedrijf dat geen CVE's heeft eigenlijk wel de waarheid spreekt.
-Colossalman- @SunnieNL26 augustus 2025 20:10
Citrix komt niet in de top 10 voor maar als je het vergelijkt met een os en dan Cisco. Kies je voorkeur...
TheDudez @HollowGamer27 augustus 2025 05:37
Zoveel keuze is er niet. Je hebt horizon nog maar ook dat product is nou niet echt geweldig.
Sylves 26 augustus 2025 16:09
Niet best hoor van Citrix..
R_Zwart @Sylves26 augustus 2025 18:34
Mwah, als er bekend dat er een vulnerability is vliegt de hackerscommunity daar op af als vliegen op een pot stroop. En hoe meer mensen zoeken, hoe meer er gevonden wordt. Maakt niet uit welke software dat is en wie het gemaakt heeft. Ook de software van critici op dit forum hebben vulnerabilities.
bollos @R_Zwart26 augustus 2025 19:52
Wat alleen erg jammer is om te zien met al deze commerciële VPN/ VDI diensten is het type kwetsbaarheden en de oorzaak hiervan. Slechte of überhaupt geen input sanitation, geen bounds checking, gebruik van onveilige C functies, incorrect gebruik van veilige C functies waardoor deze niet meer veilig zijn en de lijst gaat door.

Gezien de prijs van sommige van dit soort producten mogen ze best iets beter hun best doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq