De VVD wil van demissionair staatssecretaris Van Manum voor Digitalisering weten wanneer het Openbaar Ministerie (OM) een beveiligingsupdate voor een actief aangevallen kwetsbaarheid in Citrix NetScaler heeft geïnstalleerd. Vorige week besloot het OM de interne omgeving van het internet los te koppelen. Mogelijk misbruik van een kwetsbaarheid in Citrix NetScaler was hiervoor de aanleiding.

Vorige week werd gemeld dat er grootschalig misbruik van een beveiligingslek in Citrix NetScaler plaatsvindt, ook bekend als CitrixBleed2 en CVE-2025–5777. Op 17 juni verschenen er beveiligingsupdates voor het probleem. Een aantal dagen later, op 26 juni, stelde NetScaler dat het niet bekend was met actief misbruik van de kwetsbaarheid.

Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand gevoelige informatie direct uit het geheugen van de NetScaler-server lezen. Zo is het mogelijk om session tokens te stelen waarmee aanvallers toegang tot het systeem kunnen krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Er zijn inmiddels meer details over het probleem openbaar gemaakt, waaronder proof-of-concept exploitcode.

Op 26 juni vond misbruik van CVE-2025–5777 al plaats, aldus de Britse beveiligingsonderzoeker Kevin Beaumont. Securitybedrijf Greynoise maakte vorige week bekend dat aanvallen al sinds 23 juni plaatsvinden. VVD-Kamerleden Buijsse en Michon-Derkzen hebben naar aanleiding van de situatie om opheldering gevraagd. "Zijn er redenen waarom de beschikbare, uitgebrachte patch niet kon voorkomen dat deze kwetsbaarheid is gemitigeerd?", vragen ze aan Van Markum. Daarnaast willen ze weten wanneer het OM de beveiligingsupdate heeft geïnstalleerd.

De staatssecretaris moet ook duidelijk maken of er binnen het huidige audit- en screeningsbeleid voldoende en tijdige aandacht is geweest voor deze kwetsbaarheid. "Geldt dit ook voor de leverancier van Citrix Netscaler?", vragen Buijsse en Michon-Derkzen verder. Die willen ook weten of het OM tijdig en adequaat gereageerd heeft op de waarschuwingen van het Nationaal Cyber Security Centrum (NCSC) en wat de protocollen zijn voor het omgaan met dergelijke waarschuwingen en of deze zijn gevolgd. Ook vragen de VVD'ers of er mogelijk vertrouwelijke gegevens zijn ingezien of gestolen. De staatssecretaris heeft drie weken om met een reactie te komen.