NCSC: meerdere Nederlandse organisaties slachtoffer van Citrix kwetsbaarheid

Sinds het NCSC op 16 juli misbruik van de Citrix-kwetsbaarheid op het spoor kwam is er veel onderzoek gedaan naar deze cyberaanval. Er is nog veel onzekerheid welke organisaties gecompromitteerd zijn, of de actor nog actief is en wat de impact is van deze aanvallen. Het onderzoek zal nog blijven voortduren, maar inmiddels kan er geconcludeerd worden dat mogelijk niet al deze vragen beantwoord kunnen worden.

In het kort

Het NCSC stelt vast dat er meerdere kritieke organisaties binnen Nederland succesvol aangevallen zijn via een kwetsbaarheid met kenmerk CVE-2025-6543 in Citrix NetScaler.

Het NCSC duidt de aanvallen als het werk van een of meerdere actoren met een geavanceerde werkwijze. Zo is de kwetsbaarheid als zero-day misbruikt en zijn er actief sporen gewist om compromittatie bij de getroffen organisaties te verbergen. Het onderzoek loopt nog, maar inmiddels kan er geconcludeerd worden dat mogelijk niet alle vragen over deze digitale aanval beantwoord kunnen worden.

Citrix heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen.

Het NCSC adviseert organisaties om hun weerbaarheid te verhogen door het toepassen van defense-in-depth beheersmaatregelen. Dit draagt bij aan de verhoging van de weerbaarheid tegen deze specifieke aanval maar ook voor vergelijkbare aanvallen via nieuwe kwetsbaarheden.

Bij het aantreffen van Indicators of Compromise (IOC’s) van deze specifieke aanval is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.