Update - Scripts voor sporenonderzoek
13 augustus 2025
Op de Github-pagina van het NCSC zijn twee nieuwe checkscripts gepubliceerd die het NCSC heeft ontwikkeld om technisch onderzoek te doen op Citrix NetScaler ADC en NetScaler GateWay apparaten. Deze checkscripts stellen organisaties in staat om zelf onderzoek te doen naar mogelijke compromittaties van hun systemen.
De checkscripts zijn voorzien van nieuwe indicators of compromise die zijn geïdentificeerd naar aanleiding van recent forensisch onderzoek van het NCSC en zijn nog niet eerder gecommuniceerd. Organisaties worden daarom opgeroepen om de nieuwe checkscripts uit te voeren op hun Citrix NetScaler apparaten.
Als forensisch onderzoek door middel van de checkscripts niet (tijdig) wordt uitgevoerd, bestaat de kans dat compromittatie van systemen onopgemerkt zal blijven en de kwaadwillende actor toegang behoudt.
Het ene checkscript richt zich op coredumps, het andere checkscript richt zich op complete NetScaler images. Hoe je de scripts moet uitvoeren is terug te lezen in de readme-files die op de Github staan.
Indien je verdenkt dat jouw Citrix Netscaler ADC en Netscaler Gateway systemen gecompromitteerd zijn door het aantreffen van een of meer van de toegevoegde IOC’s, neem contact met het NCSC op.
Blijf op de hoogte via de Citrix-updates van het NCSC.
Update - Onderzoek en notificaties
11 augustus 2025
Bij meerdere organisaties in Nederland zijn Citrix-apparaten aangetroffen die kwetsbaar zijn voor de kwetsbaarheden met kenmerken CVE-2025-5349, CVE-2025-5777 en CVE-2025-6543. Bij het onderzoek zijn kwaadaardige webshells op Citrix-apparaten aangetroffen. Een webshell is een stuk malafide code die een aanvaller op afstand toegang geeft tot het systeem. De aanvaller kan een webshell plaatsen door misbruik van een kwetsbaarheid. Het NCSC heeft contact opgenomen met organisaties waar mogelijk misbruik is gevonden. Ook het Digital Trust Center probeert bedrijven die deze systemen gebruiken te identificeren en te bereiken voor een waarschuwingsbericht, een zogenoemde notificatie.
Voor een actueel handelingsperspectief adviseren we de NCSC-website te volgen.
Update - Extra duiding en handelingsperspectief
23 juli 2025
Het Nationaal Cyber Security Centrum (NCSC) heeft een overzicht gemaakt van alle relevante informatie over de kwetsbaarheden in Citrix NetScaler ADC en NetScaler Gateway. Deze uitwerkingen bieden extra duiding en handelingsperspectief in het omgaan met deze kwetsbaarheden.
Update - Aanvullend handelingsperspectief
18 juli 2025
Een beveiligingsonderzoeker heeft een blogpost met aanvullend handelingsperspectief gepubliceerd, hierin staan onder andere Indicators of Compromise (IoC's). Daarnaast deelt Citrix op verzoek IoC's met klanten.
Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) adviseren klanten van Citrix om de IoC's bij Citrix op te vragen en hun systemen op aanwezigheid van de IoC's te controleren.
Citrix adviseert daarnaast om alle actieve ICA- en PCoIP-connecties te beëindigen. De blog van DoublePulsar van 15 juli 2025 benadrukt dat ook RDP-, AAA- en load balancing (LB) persistent sessies beëindigd moeten worden. Het NCSC en het DTC nemen deze adviezen over, en adviseren bedrijven en organisaties om de genoemde connecties en sessies te beëindigen nadat de beveiligingsupdates zijn geïnstalleerd.
Het NCSC en het DTC adviseren aan alle bedrijven en organisaties die NetScaler ADC of NetScaler Gateway gebruiken om technisch onderzoek te doen naar mogelijk misbruik van CVE-2025-5777. Zie het handelingsperspectief van het NCSC voor meer informatie. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen.
De meest actuele informatie over deze kwetsbaarheid is te vinden op de volgende deze webpagina's van Netscaler en op de website van het NCSC:
- https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/
- https://www.netscaler.com/blog/news/evaluating-netscaler-logs-for-indicators-of-attempted-exploitation-of-cve-2025-5777/
- https://www.ncsc.nl/actueel/nieuws/2025/07/21/informatie-over-kwetsbaarheden-in-citrix-netscaler-adc-en-netscaler-gateway
Update - Proof-of-Concept-code verschenen
8 juli 2025
Er is Proof-of-Concept-code (PoC) verschenen voor de kwetsbaarheid met kenmerk CVE-2025-5777. De PoC beschrijft hoe er misbruik kan worden gemaakt van de kwetsbaarheid. Het risico van grootschalig misbruik na uitbrengen van deze PoC is aanwezig.
Update - Kwetsbaarheid op afstand te misbruiken
25 juni 2025
De kwetsbaarheid met kenmerk CVE-2025-5777 is, in tegenstelling tot eerdere informatie, op afstand en zonder authenticatie te misbruiken. De inschaling blijft 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.
Oorspronkelijk bericht
18 juni 2025
Softwarebedrijf Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler Gateway. De kwetsbaarheden zijn aangeduid met het kenmerk CVE-2025-5777 en CVE-2025-5349. Het Nationaal Cyber Security Centrum (NCSC) acht het waarschijnlijk dat deze kwetsbaarheden op korte termijn zullen worden misbruikt. Daarom heeft het NCSC de kwetsbaarheden ingeschaald als 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.
Wat is het risico?
De kwetsbaarheid met het kenmerk CVE-2025-5777 gaat om een 'Out-of-Bounds read'. Dit is wanneer een kwaadwillende een applicatie gegevens laat lezen buiten de grenzen van het daarvoor bedoelde geheugen. De kwaadwillende kan hiermee mogelijk toegang krijgen tot gevoelige informatie.
De kwetsbaarheid met het kenmerk CVE-2025-5349 stelt een kwaadwillende in staat om ongeautoriseerde toegang tot bepaalde onderdelen van het systeem te verkrijgen. De kwaadwillende heeft hiervoor wel toegang nodig tot specifieke netwerkinterfaces.
Wat kun je doen?
Er zijn beveiligingsupdates uitgebracht. Het Digital Trust Center (DTC) adviseert bedrijven om deze zo snel mogelijk te (laten) installeren. In het beveiligingsadvies van Citrix vind je daarnaast aanvullend handelingsperspectief. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb en vraag nu tijdelijk subsidie aan via Mijn Cyberweerbare Zaak.