Joost Schellevis: "Het OM is blijkbaar bang dat hackers zich al in het systeem hebben genesteld. Het oorspronkelijke lek is inmiddels gedicht en dus niet meer te misbruiken, maar waarschijnlijk was het dus al te laat. Het zou daardoor goed kunnen dat een aanvaller inmiddels voor zichzelf een nieuw achterdeurtje heeft opengezet."

https://nos.nl/artikel/2575495

Wel triest dat men na een paar weken nog steeds die Netscaler(s) niet heeft/hebben gepatched.

Goh, maar de digitale omgeving van honderden miljoenen medische patiëntendossiers moet juist wèl aan internet worden gekoppeld, want dat vind de overheid niet kwetsbaar en niet onveilig... Het zijn immers maar patiënten...

En dan lees je verder...
Dus eerst het kalf laten verdrinken, dan pas (zoals altijd) de put dempen.

Het OM leest security.nl: https://www.security.nl/posting/896779/NetScaler+deelt+Indicators+of+Compromise+%28IoCs%29+CVE-2025-5777 van gisteren. Zonder IoC kom je hier moeilijker achter kan ik mij voorstellen.

Ik vind het geen goed idee dat we alles digitaliseren. JA Dat is lekker makkelijk en ook superveilig. hahahaha Dus niet.
Hopelijk helpen dit soort gebeurtenissen om die digi anafabete ambtenaren wakker te schudden in hun overschatting van DigID CBDC en Digitale ID
Het is altijd te hacken en te misbruiken door wie? ja goeie vraag. Waarschijnlijk en wel zeker door de makers.Nee dat mag je niet zeggen Dus dan maar de russen de schuld geven , Om het maar met de nationale mening eens te zijn (leve de vrijheid)
De NCTV gebruiken Palantir(raffinaderij) en denkt de burger te controleren maar NL zelf is doelwit.

Op Tweakers lees ik het volgende:

Nou lekker dan. We moeten er maar vanuit gaan dat er dus ook een massieve datalek heeft plaats gevonden. Dus het AP zal wel een melding krijgen hierover. Dat is althans mijn verwachting.

Er zijn geluiden dat het al voor de patch misbruikt werd. Dat zou kunnen betekenen dat de toegang al eerder verkregen is.

Ligt eraan wat het is. Een beetje SOC met een IDS, SIEM moet toch echt wel bijzondere requests opvallen zeker uitgaand.

En dan nog hadden ze al 10 Juli actie moeten ondernemen en niet gister. De 15de is voor klanten, partners de melding eruit gegaan met extra info als in IoC. Maar de CVE bevestiging is van 10 juli. Sterker nog er was al mogelijkheid om 17 juni te starten met mitigation. https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

Als het inderdaad hier mee te maken heeft de controle van de IoC kost nog geen 15 minuten. Meeste tijd zal het parsen van het log zijn. Dat betekend niet dat inbraak te voorkomen was nog dat systemen online konden blijven maar de response window had veel korter kunnen zijn als het deze CVE is. Als je niet binnen 24 uur kan patchen in een kritieke infrastructuur heb je de boel niet in orde.

Kan nog geen definitief oordeel vellen maar het neigt naar amateur hour qua monitoring en patch management. En gezien hoe het er de vorige keer bij de politie aan toe ging (waar we ook niks meer over horen) zou het me niks verbazen.

Het lek was al op 17-6-2025 bekend. Nu dan nog niet gepatcht hebben is bijna misdadig op zich, gezien de middelen die de overheid ter beschikking heeft.

https://www.security.nl/896853

Kwetsbaarheid was sinds 23 juni bekend.

https://www.bleepingcomputer.com/news/security/citrix-bleed-2-exploited-weeks-before-pocs-as-citrix-denied-attacks/

Het loskoppelen is een voorzorgsmaatregel sinds gisterenavond. Een doel als het Openbaar Ministerie is natuurlijk erg interessant, ik vermoed dan ook dat er binnenlands iets speelt. Even rondneuzen of er dossieropbouw in een zaak is aangevangen,of anders het bemachtigen van namen zodat druk in mensen hun privé omgeving opgevoerd gaat worden (door de usual suspects)

Misbruik van het lek sluit het OM niet uit, liet een woordvoerder van het Parket-Generaal vrijdagochtend aan NRC weten:


https://www.nrc.nl/nieuws/2025/07/18/openbaar-ministerie-is-offline-vanwege-ernstige-zorgen-over-ict-beveiliging-datalek-niet-uitgesloten-a4900617

Outlook werkt niet (volledig) meer. Het landelijke GPS [Geïntegreerde Proces Systeem] is slechts "beperkt beschikbaar”.

Aanbestedingstraject van 3 jaar?

De meeste rechtszaken in Amsterdam gaan toch wel door. Een woordvoerder van het OM Amsterdam laat weten dat de meeste zaken op vrijdag wel gewoon door kunnen gaan, bijvoorbeeld door papieren dossiers te gebruiken. Slechts een aantal zaken die door een politierechter worden behandeld moeten worden uitgesteld.

https://www.parool.nl/nederland/om-van-internet-af-om-kwetsbaarheid-meeste-rechtszaken-in-amsterdam-gaan-toch-wel-door~b3f2d448/

Die Netscalers zijn een beetje een complex beest. Vaak worden ze voor SSL-offloading gebruikt, zodat de virtuele servers erachter niet de hele dag alleen maar aan het SSL-berekenen zijn. Daarvoor moet je de private key van je achterliggende servers hebben, zodat je aan de voorkant kunt doen alsof je de server bent.

Als die keys gestolen worden (zoals eerder in een Netscaler exploit het geval was) dan moet je die https certificaten revoken, en opnieuw aanvragen, en dan overal installeren. Niet fijn als dat een wildcard certificaat is dat overal en nog ergens is toegepast, waarmee ik meteen reclame maak voor sobdomein-certificaten, iets duurder, maar scheelt een hoop werk, en je weet dan ook beter wie je certificaat heeft gelekt als die op straat ligt.

de Netscaler verzorgt vaak ook routeringen, en VPN's, en god weet wat nog meer, zodat dat ding effe patchen best lastig is in een productieomgeving.

Een goede setup is een dubbele set, waarbij je de config regelmatig backupped, zodat je na een hack gewoon een setje Netscalers installeert from scratch (eventueel tijdelijk virtueel) en daar de uncompromised config op terugzet.
Af en toe live failovers doen waarin je de boel patched.

Helaas durft bijna niemand zo'n set even te failoveren, omdat dat niet altijd goed gaat en de gevolgen een dooie setup kunnen zijn, en je hebt geen handleiding en de beheerder is op vakantie en dat is de enige die het snapt.
en daarna sta je op security.nl.
Wat heb je dan aan een dubbele setup? staat mooi in je visio-tekening. ;-)

Hoi Klok, laat me je voorstellen aan Klepel. Klepel zegt:

Een stuk waarschijnlijker is dat de systemen al gepatcht waren maar dankzij de deze week door Citrix gedeelde Indicators of Compromise ontdekt is dat er voor het patchen al misbruik plaatsgevonden heeft.

Medewerkers bij het OM hebben zelf het meeste last van het offline halen, het is een groot netwerk en dit weekend zal er vast hard gewerkt en geanalyseerd worden wat er allemaal heeft plaatsgevonden.

Ik kan me niet voorstellen dat het los trekken van het internet een "false flag" of oefening is om landelijk in het nieuws te communiceren of dwaalsporen in de denkrichtingen van nieuwsvolgers te planten (buitenlandse ambassades en consulaten) al is dit in het verleden wel gebeurd.

Iemand hier bekend met de infra en het systeem van het OM?


https://www.nctv.nl/onderwerpen/vitale-infrastructuur/overzicht-vitale-processen

Quote van NOS Nieuws https://nos.nl/artikel/2575495
Lees "kwetsbaarheid" in het systeem zit". Als dit inderdaad van een woordvoerder komt dan is het een redactie gecontroleerd antwoord aan de kant van het OM en dan was er dus niet gepatched op tijd of het gaat om iets compleet anders dan deze CVE wat kan maar niet heel plausibel is.

Ik heb gezocht, maar geen reactie van het OM kunnen vinden, ook niet op hun eigen website

Dat de Netscalers van het OM nog kwetsbaar waren staat niet in enige communicatie van het OM of de minister.

In de brief van de minister staat wel:

"Het systeem" lijkt dus te verwijzen naar: Het product Netscaler ADC van Citrix. Niet naar specifieke instanties van het OM. Beetje slecht redactie werk van de NOS-stagiair.

Wat er ook wél staat, is dat de boel offline gehaald is vanwege signalen dat een kwetsbaarheid aangevallen is geweest. En niet omdat de kwetsbaarheid nog actief is.

Ik hoop dat het broddelwerk aan de kant van de NOS zit qua citaat maar ik ben er nog niet zeker van.
Hopelijk heb je gelijk. We gaan het in de komende dagen wel merken.

https://raw.githubusercontent.com/GossiTheDog/scanning/ec207fa006ebebddd61bc5c0356555cef27e2cab/CVE-2025-5777-CitrxBleed2-ElectricBoogaloo-patching.txt

Hier is in elk geval een resultaat van een scan van 17k netscalers van 2 weken geleden. Alle bekende .om.nl Netscalers waren op dat moment niet vulnerable voor Citrix Bleed 2.

Daarnaast wil ik even benadrukken dat ik op iemand reageerde die de aanname "Systemen waren op 17 juli 2025 nog niet gepatcht" voor feit aannam.

Ik zeg zelf specifiek dat het scenario waarin de systemen wel op tijd gepatcht zijn, maar er daarvoor al misbruik plaatsgevonden heeft, waarschijnlijker is. Maar ik ga niet mijn inschatting van de situatie als voldongen feit presenteren.