Het NCSC heeft een belangrijke update uitgebracht over geraffineerde cyberaanvallen waarbij Nederlandse organisaties succesvol zijn gecompromitteerd via kwetsbaarheden in Citrix NetScaler. De aanvallen maken gebruik van een zero-day exploit en actieve sporenverwijdering, waardoor het forensisch onderzoek bemoeilijkt wordt.
Bij meerdere kritieke organisaties binnen Nederland zijn kwaadaardige webshells aangetroffen op Citrix-apparaten. Een webshell geeft aanvallers op afstand toegang tot het systeem, ook nadat de oorspronkelijke kwetsbaarheid is gepatcht. Het Nationaal Cyber Security Centrum waarschuwt dat deze digitale aanval het werk is van geavanceerde actoren.
Citrix NetScaler fungeert als gateway voor thuiswerken en zorgt voor applicatielevering binnen organisaties. Door deze centrale positie kunnen aanvallers na compromitatie toegang krijgen tot bedrijfsomgevingen en intranet.
Zero-day exploitatie sinds mei
Forensisch onderzoek toont aan dat de zero-day kwetsbaarheid met kenmerk CVE-2025-6543 al vanaf begin mei werd misbruikt, terwijl Citrix pas op 25 juni publiekelijk informatie deelde en een patch aanbood. Deze tijdslijn illustreert hoe aanvallers de gelegenheid benutten voordat verdedigingsmaatregelen beschikbaar kwamen.
Het NCSC volgt sinds 16 juli een lopend cyberonderzoek naar misbruik van kritieke kwetsbaarheden in Citrix NetScaler. Het onderzoek bevestigt dat meerdere kritieke organisaties binnen Nederland succesvol zijn aangevallen.
Naast de zero-day exploitatie hebben aanvallers actief sporen gewist om compromitatie te verbergen. Deze werkwijze maakt forensisch onderzoek uitdagend en zorgt ervoor dat mogelijk niet alle vragen over deze digitale aanval beantwoord kunnen worden.
Patchen alleen is onvoldoende
Het NCSC benadrukt dat het updaten van systemen niet voldoende is om het risico weg te nemen. Kwaadwillenden kunnen eerder verkregen toegang behouden, ook na het installeren van security updates. Hierdoor blijft het risico op aanhoudend misbruik bestaan.
Organisaties moeten daarom hun weerbaarheid verhogen door defense-in-depth beheersmaatregelen toe te passen. Deze aanpak draagt bij aan bescherming tegen specifieke aanvallen en vergelijkbare aanvallen via nieuwe kwetsbaarheden.
Bij het aantreffen van Indicators of Compromise (IOC’s) van deze aanval is vervolgonderzoek nodig om daadwerkelijke compromitatie vast te stellen. Het NCSC adviseert organisaties contact op te nemen via cert@ncsc.nl voor ondersteuning.
Het onderzoek loopt nog en het NCSC werkt samen met getroffen organisaties en partners uit de veiligheidsketen om nieuwe indicatoren te vinden. Door actief delen van informatie wordt het onderzoek steeds beter en versterken bevindingen elkaar.