NCSC geeft duiding en tips rond Citrix kwetsbaarheid
Het NCSC is in een update verder ingegaan op de situatie omtrent de kwetsbaarheden in Citrix NetScaler ADC en NetScaler Gateway. Ook biedt NCSC extra duiding en handelingsperspectief in het omgaan met deze kwetsbaarheden.
In het kort
Momenteel is er sprake van actief misbruik van Citrix-kwetsbaarheden waardoor het NCSC hier opnieuw aandacht voor vraagt. Het NCSC heeft beveiligingsadviezen uitgebracht ten aanzien van drie kwetsbaarheden Citrix NetScaler ADC en NetScaler Gateway.
Kwetsbaarheden bieden een ingang om, middels cyberaanvallen, de digitale omgeving van organisaties binnen te dringen. Als dat gebeurt dan spreken we over misbruik van een kwetsbaarheid.
Bij meerdere organisaties zijn sporen van mogelijk misbruik waargenomen, waaronder in Nederland. Daar wordt momenteel nader onderzoek naar gedaan.
Het NCSC roept organisaties met klem op om de maatregelen uit de adviezen op te volgen en systemen te controleren op compromittatie. Op deze pagina lichten we de adviezen toe.
Citrix heeft inmiddels updates beschikbaar gesteld om deze kwetsbaarheden te verhelpen. In het geval van een mogelijke compromittatie wordt verzocht contact op te nemen met het NCSC. Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen. Aanvullende actie is nodig!
Situatie
Citrix NetScaler: wat is het?
Citrix Netscaler zorgt ervoor dat websites en applicaties snel en betrouwbaar bereikbaar blijven. Een NetScaler Gateway wordt gebruikt om thuiswerken te faciliteren. Medewerkers kunnen via NetScaler Gateway op afstand toegang krijgen tot bedrijfsomgevingen en intranet van een bedrijf of organisatie.
Citrix NetScaler ADC en Citrix NetScaler Gateway zijn netwerkoplossingen die zich richten op digitale beveiliging en toegang tot applicaties en bedrijfsomgevingen. NetScaler ADC (Application Delivery Controller) zorgt voor het verdelen van binnenkomend verkeer over meerdere servers. Het fungeert als een load balancer die zorgt voor een verdeling van netwerkverkeer, beveiliging en beschikbaarheid van on-premise en cloudtoepassingen.
Kwetsbaarheden
De kwetsbaarheden zijn bij meerdere organisaties in Nederland en in het buitenland aangetroffen. Dat betekent niet dat deze kwetsbaarheid misbruikt is. Deze kwetsbaarheden hebben de kenmerken CVE-2025-5349, CVE-2025-5777 en CVE-2025-6543. Eerder heeft het NCSC hiervoor beveiligingsadviezen opgesteld.
Risico op misbruik
Het NCSC doet op dit moment onderzoek naar mogelijk misbruik van de drie kwetsbaarheden in Citrix-apparaten. Bij het onderzoek zijn kwaadaardige webshells op Citrix-apparaten aangetroffen. Een webshell is een stuk malafide code die een aanvaller op afstand toegang geeft tot het systeem. De aanvaller kan een webshell plaatsen door misbruik van een kwetsbaarheid. Het NCSC heeft contact opgenomen met partijen waar mogelijk misbruik is gevonden. Dit neemt het belang van zelf nader onderzoek doen niet weg; niet al het misbruik kan worden waargenomen door het NCSC.
Het patchen van een kwetsbaarheid betekent niet dat het probleem is opgelost. Een kwaadwillende kan toegang tot een systeem behouden, ook nadat de kwetsbaarheid is gepatcht. Hierdoor ontstaat een risico op misbruik.
Getroffen organisaties
Het NCSC staat met een aantal organisaties actief in contact over mogelijk misbruik. Het NCSC doet geen uitspraken over welke organisaties mogelijk getroffen zijn.
Duiding
Systemen die bereikbaar zijn vanaf het internet zijn een populair doelwit voor kwaadwillenden actoren. Deze systemen worden ook wel edge devices genoemd. Citrix NetScaler ADC en Citrix NetScaler Gateway zijn voorbeelden van edge devices.
Het NCSC ziet dat edge devices al geruime tijd een aantrekkelijk doelwit vormen voor kwaadwillenden. Geavanceerde actoren investeren capaciteit en middelen om onderzoek te doen en kwetsbaarheden te identificeren. Misbruik van een kwetsbaarheid kan een aanvaller in staat stellen om ongezien toegang tot een achterliggend netwerkt te krijgen. Doordat vrijwel iedere organisatie één of meerdere edge devices in beheer heeft, en deze via het internet te bereiken zijn, zien kwaadwillenden edge devices als een interessant doelwit.
Zo kan een kwaadwillende besluiten om op het apparaat een backdoor te installeren om zo persistentie te bewerkstelligen. Het verkrijgen van persistentie dat betekent dat de kwaadwillende voor langere tijd toegang behoudt tot de digitale infrastructuur van het doelwit. Uit onderzoek van het NCSC blijkt dat actoren op verschillende manieren persistentie creëren. Bijvoorbeeld het aanmaken van valide accounts, het plaatsen van webshells en het verspreiden van malware. Vaak blijven deze backdoors aanwezig na het installeren van patches en eventuele reboots. Bovendien kunnen kwaadwillenden ook de loggingfunctionaliteiten aanpassen waardoor het moeilijker is om verdacht gedrag te identificeren. Soms schakelen kwaadwillenden deze functionaliteiten zelfs volledig uit. Dit bemoeilijkt later onderzoek.
Meer over Security
Over Witold Kepinski
