Citrix-kwetsbaarheid treft meerdere kritieke Nederlandse organisaties

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) meldt dat gerichte cyberaanvallen via kwetsbaarheden in Citrix NetScaler Nederlandse organisaties hebben getroffen. Onderzoek laat zien dat aanvallers sinds begin mei gebruikmaakten van een zero-day (CVE-2025-6543) en daarbij kwaadaardige webshells op Citrix-apparaten plaatsten, waardoor zij blijvende toegang tot netwerken konden behouden — ook nadat Citrix op 25 juni een patch publiceerde.

Citrix NetScaler wordt veel ingezet als toegangspoort voor thuiswerken en applicatielevering; een compromise van zo’n gateway geeft kwaadwillenden vaak doorgang naar interne systemen en intranet. Het NCSC signaleert dat meerdere vitale Nederlandse organisaties door deze geavanceerde actoren zijn gecompromitteerd en dat aanvallers actief sporen wissen, wat forensisch onderzoek bemoeilijkt en het volledig achterhalen van schade en oorzaak lastig maakt.

Het NCSC volgt het voorval sinds 16 juli en benadrukt dat alleen patchen vaak onvoldoende is: eerder verkregen toegang kan persistenter zijn dan de kwetsbaarheid zelf. Daarom adviseert het centrum een defense-in-depth aanpak met aanvullende detectie- en herstelmaatregelen en nauwkeurig vervolgonderzoek bij het aantreffen van Indicators of Compromise (IOC’s). Getroffen organisaties en partijen met relevante vondsten worden verzocht contact op te nemen met cert@ncsc.nl. Het onderzoek loopt door en de NCSC werkt samen met getroffen organisaties en ketenpartners om meer indicatoren te identificeren en verdere verspreiding te beperken.