Casus: Citrix kwetsbaarheid (Update 13-08-2025)

Nieuwsbericht | 13-08-2025 | 13:13

Via deze pagina biedt het NCSC een update op de eerdere berichtgeving. We bieden hierin de publicatie van twee nieuwe checkscripts die voorzien zijn van nieuwe indicators of compromise, aanvullende context waarbij we belichten dat het hier om een geraffineerde aanval gaat waarbij meerdere Nederlandse organisaties succesvol aangevallen zijn. Daarnaast deelt het NCSC aanvullende adviezen in het licht van deze digitale aanval. Hiermee willen we organisaties aansporen en ondersteunen om hun digitale weerbaarheid verder te verhogen en zich op de juiste elementen van digitale veiligheid te richten.

Sinds het NCSC op 16 juli misbruik van de Citrix-kwetsbaarheid op het spoor kwam is er veel onderzoek gedaan naar deze cyberaanval. Er is nog veel onzekerheid welke organisaties gecompromitteerd zijn, of de actor nog actief is en wat de impact is van deze aanvallen. Het onderzoek zal nog blijven voortduren, maar inmiddels kan er geconcludeerd worden dat mogelijk niet al deze vragen beantwoord kunnen worden.

In het kort

Het NCSC stelt vast dat er meerdere kritieke organisaties binnen Nederland succesvol aangevallen zijn via een kwetsbaarheid met kenmerk CVE-2025-6543 in Citrix NetScaler.
Het NCSC duidt de aanvallen als het werk van een of meerdere actoren met een geavanceerde werkwijze. Zo is de kwetsbaarheid als zero-day misbruikt en zijn er actief sporen gewist om compromittatie bij de getroffen organisaties te verbergen. Het onderzoek loopt nog, maar inmiddels kan er geconcludeerd worden dat mogelijk niet alle vragen over deze digitale aanval beantwoord kunnen worden.
Citrix heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Het updaten van systemen is niet voldoende om het risico op misbruik weg te nemen.
Het NCSC adviseert organisaties om hun weerbaarheid te verhogen door het toepassen van defense-in-depth beheersmaatregelen. Dit draagt bij aan de verhoging van de weerbaarheid tegen deze specifieke aanval maar ook voor vergelijkbare aanvallen via nieuwe kwetsbaarheden.
Bij het aantreffen van Indicators of Compromise (IOC’s) van deze specifieke aanval is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.
Op de Github-pagina van het NCSC (https://github.com/NCSC-NL/citrix-2025) zijn twee nieuwe checkscripts gepubliceerd die het NCSC heeft ontwikkeld om technisch onderzoek te doen op Citrix NetScaler ADC en NetScaler GateWay apparaten. Deze checkscripts stellen organisaties in staat om zelf onderzoek te doen naar mogelijke compromittaties van hun systemen.

Checkscripts met indicators of compromise

Op de Github-pagina van het NCSC (https://github.com/NCSC-NL/citrix-2025) zijn twee nieuwe checkscripts gepubliceerd die het NCSC heeft ontwikkeld om technisch onderzoek te doen op Citrix NetScaler ADC en NetScaler GateWay apparaten. Deze checkscripts stellen organisaties in staat om zelf onderzoek te doen naar mogelijke compromittaties van hun systemen.

De checkscripts zijn voorzien van nieuwe indicators of compromise die zijn geïdentificeerd naar aanleiding van recent forensisch onderzoek van het NCSC en zijn nog niet eerder gecommuniceerd. Organisaties worden daarom opgeroepen om de nieuwe checkscripts uit te voeren op hun Citrix NetScaler apparaten.

Als forensisch onderzoek door middel van de checkscripts niet (tijdig) wordt uitgevoerd, bestaat de kans dat compromittatie van systemen onopgemerkt zal blijven en de kwaadwillende actor toegang behoudt.

Het ene checkscript richt zich op coredumps, het andere checkscript richt zich op complete NetScaler images. Hoe je de scripts moet uitvoeren is terug te lezen in de readme-files die op de Github staan.

Indien je verdenkt dat jouw Citrix Netscaler ADC en Netscaler Gateway systemen gecompromitteerd zijn door het aantreffen van een of meer van de toegevoegde IOC’s, neem contact met ons op.

Situatie

Citrix NetScaler: wat is het?

Citrix NetScaler zorgt ervoor dat websites en applicaties snel en betrouwbaar bereikbaar blijven. Een NetScaler Gateway wordt onder andere gebruikt om thuiswerken te faciliteren. Medewerkers kunnen via NetScaler Gateway op afstand toegang krijgen tot bedrijfsomgevingen en intranet van een bedrijf of organisatie.

Citrix NetScaler ADC en Citrix NetScaler Gateway zijn netwerkoplossingen die zich richten op digitale beveiliging en toegang tot applicaties en bedrijfsomgevingen. NetScaler ADC (Application Delivery Controller) fungeert als een load balancer die zorgt voor een verdeling van netwerkverkeer over meerdere servers, beveiliging en beschikbaarheid van on-premise en cloudtoepassingen.

Kwetsbaarheden

Bij meerdere organisaties in Nederland en in het buitenland zijn Citrix-apparaten aangetroffen die kwetsbaar zijn voor de kwetsbaarheden met kenmerken CVE-2025-5349, CVE-2025-5777 en CVE-2025-6543. Overigens betekent dit niet dat deze kwetsbaarheden op alle kwetsbare Citrix systemen ook misbruikt zijn. Het NCSC heeft voor de kwetsbaarheden beveiligingsadviezen opgesteld.

Risico op misbruik

Het NCSC doet op dit moment onderzoek naar mogelijk misbruik van de drie kwetsbaarheden in Citrix-apparaten. Bij het onderzoek zijn kwaadaardige webshells op Citrix-apparaten aangetroffen. Een webshell is een stuk malafide code die een aanvaller op afstand toegang geeft tot het systeem. De aanvaller kan een webshell plaatsen door misbruik van een kwetsbaarheid. Het NCSC heeft contact opgenomen met partijen waar mogelijk misbruik is gevonden. Dit neemt het belang van dat organisaties zelfnader onderzoek doen niet weg.

Het patchen van een kwetsbaarheid betekent niet dat het probleem is opgelost. Een kwaadwillende kan de eerder verkregen toegang tot een systeem behouden, ook nadat de kwetsbaarheid is gepatcht. Hierdoor blijft het risico op aanhoudend misbruik aanwezig doordat de kwaadwillende kan terugkeren op het eerder gecompromitteerde systeem.

Duiding

Het NCSC stelt vast dat er meerdere kritieke organisaties binnen Nederland succesvol aangevallen zijn.

Zero-day kwetsbaarheid

Nader onderzoek wijst uit dat de kwetsbaarheid sinds ten minste vanaf begin mei is misbruikt door de aanvaller. Op 25 juni publiceerde Citrix informatie over kwetsbaarheid CVE-2025-6543 en bood een patch aan om deze te verhelpen. We spreken hiertoe over een zero-day aanval, aangezien de kwetsbaarheid is misbruikt voordat deze publiek bekend werd gemaakt.

Actief sporen gewist

Forensisch onderzoek bij getroffen organisaties laat zien dat er actief sporen zijn uitgewist door de aanvaller. Dit maakt forensisch onderzoek uitdagend. Zoals onderstaande afbeelding illustreert, zijn in het onderzoek naar nieuwe indicatoren van deze kwetsbaarheid belangrijk om nieuwe besmettingen vast te stellen:

Op dit moment lopen er verschillende onderzoeken naar de reikwijdte, aard en impact van de aanvallen. Samen met getroffen organisaties, incidentresponspartijen en partners uit de veiligheidsketen vinden we nog steeds nieuwe indicatoren, waarmee we andere organisaties in Nederland helpen om hun eigen onderzoek te verrichten. Doordat organisaties actief delen met het NCSC, wordt onderzoek steeds beter en versterken bevindingen elkaar. Tezamen krijgen we steeds meer zicht op de impact die deze aanvallen hebben zodat we daar passend op kunnen reageren.

Handelingsperspectief

Digitale weerbaarheid moet chefsache zijn. De gevolgen van een digitale aanval gaan immers ook veel verder dan technische implicaties en beïnvloeden de fysieke leefomgeving. Het is cruciaal dat beslissingsbevoegden, zoals bestuurders en proceseigenaren, integraal betrokken zijn bij digitale weerbaarheid. Een vraag is of degenen die verantwoordelijk zijn voor de uitvoering het mandaat en de capaciteit hebben om digitale weerbaarheid naar een passend niveau te brengen. Technische maatregelen zijn slechts een deel van het verhaal: goed ingerichte governance, passend risicomanagement en een gezonde security-cultuur zijn evenzo randvoorwaardelijk. De basisprincipes van het NCSC leggen hier een fundament voor.

Risicobeoordelingen zijn kritiek om effectief en efficiënt te investeren in digitale weerbaarheid. Zorg ervoor dat je jouw te beschermen belangen in kaart hebt. Prioriteer deze en bescherm ze met passende maatregelen. Denk hierbij aan technisch-gerichte maatregelen – zoals patch management, het verbeteren van je kwetsbaarhedenbeheer het toepassen van netwerksegmentatie en het hardenen van edge devices –, maar ook procesmatige en mensgeoriënteerde beheersmaatregelen. Zie digitale weerbaarheid daarbij niet als een one-off, maar beleef het als een cyclisch proces waar de gehele organisatie bij betrokken moet worden.

Deze casus onderstreept dat actoren geavanceerde methodes inzetten om digitale systemen binnen Nederland te misbruiken. Dit is in lijn met het jaarverslag van de AIVD van 2024 en het Cybersecuritybeeld Nederland 2024 van de NCTV, die beide benadrukken dat geavanceerde aanvallen op Nederland toenemen.

Bescherm de belangrijkste systemen en processen. Dit kan bijvoorbeeld door het patchen van kwetsbaarheden in cruciale systemen, ook wel de Te Beschermen Belangen (TBB) genoemd. Doe dit op geprioriteerde wijze, waardoor de belangrijkste te beschermen belangen het beste (en snelste) beschermd worden.

Het NCSC onderstreept daarom dat een defense-in-depth strategie toegepast moet worden, waarbij er meerdere lagen van verdediging opgezet worden om de weerbaarheid zo te verhogen. Als een aanvaller dan één maatregel weet te passeren, dan zijn jouw kritieke te beschermen belangen niet direct gecompromitteerd.

Zorg er daarbij voor dat dat je jouw belangen niet alleen beschermt, maar er ook voor dat je klaar bent om digitale aanvallen te detecteren en hierop kan reageren. Om goed te kunnen reageren is forensic readiness nodig. Ook bij deze specifieke aanval helpen de maatregelen die in dat stuk voorgesteld worden zoals actoren die actief sporen kunnen wissen. Het beschikbaar hebben van logging stelt je in staat te onderzoeken of – en zo ja, hoe – jouw organisatie aangevallen is. Bereid je ook voor om na een eventuele compromittatie tijdig te kunnen herstellen.

Het NCSC doet actief onderzoek naar de kwetsbaarheden in Citrix NetScaler ADC en NetScaler Gateway. Wil je meer weten hoe het NCSC je kan ondersteunen bij een cyberincident? Op deze pagina kan je meer informatie vinden over bijstand van het NCSC en het maken van een melding.

Bij het aantreffen van Indicators of Compromise (IOC’s) van misbruik van de hier genoemde kwetsbaarheid is vervolgonderzoek nodig om vast te stellen of er daadwerkelijk compromittatie heeft plaatsgevonden. Heb je een of meerdere IOCs aangetroffen in jouw netwerk? Neem in dat geval contact op met cert@ncsc.nl voor verdere ondersteuning.

Technisch handelingsperspectief

Update Citrix NetScaler ADC en NetScaler Gateway-apparaten. Installeer de meest de recente beveiligingupdates en besteed extra aandacht bij de controle van de juiste versienummers.

De hoogst bekende versienummers zijn:

* ADC & Gatway 14.1: 14.1-47.46

* ADC & Gateway 13.1: 13.1-59.19

* ADC 13.1-FIPS: 13.1-37.236

* ADC 13.1-NDcPP: 13.1-37.236

* ADC 12.1-FIPS: 12.1-55.328 (uitsluitend voor CVE-2025-6543)

Na het installeren van de updates wordt geadviseerd om blijvende en actieve sessies te beëindigen. Dit is mogelijk via de volgende commando's:

kill icaconnection -all
kill pcoipConnection -all
kill aaa session -all
kill rdp connection -all
clear lb persistentSessions

Bestanden met een afwijkende .php extensie in Citrix NetScaler systeemfolders kunnen een indicatie zijn van misbruik. Kenmerken van een afwijkende PHP-bestand kunnen zijn:

Een opmerkelijke aanmaakdatum;
duplicate naam van een ander bestand met een andere bestandsextensie;
geen of weinig php bestanden in de folder;

Het NCSC heeft een script beschikbaar gesteld op haar GitHub-pagina om de NetScaler ADC- en NetScaler Gateway-systemen te controleren op mogelijke compromitatie door CVE-2025-6543. Houd de GitHub-pagina in de gaten voor updates op het script.

Controleer op nieuw aangemaakte accounts op de NetScaler , en specifiek op accounts met verhoogde rechten.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196 (CVE-2025-5349 & CVE-2025-5777)

https://advisories.ncsc.nl/advisory?id=NCSC-2025-0203 (CVE-2025-6543)

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

https://www.ncsc.nl/documenten/factsheets/2024/juni/10/kennisproduct-omgaan-met-edge-devices

https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/incident-respons

Casus: Citrix kwetsbaarheid (Update 13-08-2025)

In het kort

Tijdlijn

Mei

Begin mei

Juni

18 juni

25 juni

Juli

16 juli

18 juli

21 juli

22 juli - 10 augustus

Augustus

Na 11 aug

Checkscripts met indicators of compromise

Situatie

Duiding

Handelingsperspectief

Technisch handelingsperspectief

Meer informatie

Casus: Citrix kwetsbaarheid (Update 13-08-2025)

In het kort

Tijdlijn

Mei

Juni

Juli

Augustus

Checkscripts met indicators of compromise

Situatie

Duiding

Handelingsperspectief

Verhoog digitale weerbaarheid

Weet wat je beschermt

Zorg voor een gelaagde verdedigingslinie

Wees voorbereid

Blijf communicatie van het NCSC volgen

Technisch handelingsperspectief

Patch en update

Detecteren van misbruik

Reageer als je mogelijk misbruik waarneemt

Meer informatie

Deel deze pagina