Citrix-lek treft cruciale Nederlandse organisaties, updates werken onvoldoende

Het digitale dievengilde maakte gebruik van een zero-day, ook wel bekend als CVE-2025-6543 in Citrix NetScaler. Volgens het NCSC gaat het om een geavanceerde en gerichte operatie waarbij de aanvallers in staat waren om zich hun sporen te wissen, wat het onderzoek langdurig en complex maakt. 

NCSC geeft niet aan welke organisaties doelwit zijn geweest van de aanvallen, maar stelt dat er meerdere partijen hebben aangegeven dat ze inbraaksporen gevonden hebbe.

Patches onvoldoende om dreiging weg te nemen

Citrix heeft inmiddels beveiligingsupdates uitgebracht om het lek te dichten. Maar het NCSC waarschuwt dat alleen patchen niet voldoende is. Als aanvallers eenmaal toegang hebben, kunnen ze die behouden, ook na het installeren van een update. Daarom adviseert het NCSC om aanvullend onderzoek te doen naar inbraaksporen.

Om organisaties daarbij te helpen, werkt het centrum aan een script (hier te vinden op Github) waarmee beheerders kunnen controleren of hun systemen sporen van misbruik vertonen. 

Oproep tot structurele digitale weerbaarheid

Het incident onderstreept volgens het NCSC de noodzaak van een bredere en structurele aanpak van digitale veiligheid. Technische maatregelen alleen zijn niet genoeg: ook bestuurders moeten zich actief bezighouden met cyberrisico’s, en organisaties moeten duidelijk in kaart brengen welke systemen en gegevens prioriteit hebben bij bescherming.

Daarnaast adviseert het centrum om netwerksegmentatie en extra beveiliging van randapparatuur door te voeren. Ook stuurt het aan op een zero-trust omgeving, hoe lastig dat ook haalbaar is.