*Suprised Pikachu face*

We moeten vooral door met digi-drammen. DOOR!

En dit is dan nog onschuldig. Stel je voor dat 'de hackers' kwaad in de zin hadden...

Het OM heeft vast veel teveel data van veel te veel mensen. De boel gewoon maar eens aansprakelijk stellen voor het lekken zou wellicht wat mensen wakker maken. Ohnee... het gaat maar over burgers. Niet interessant.

Best bijzonder. Infiltreren in een layered security systeem kost wel enige tijd en geduld. Tenzij er naast het Netscaler probleem er ook nog iets aan de hand is, wat dus sinds kort ontdekt is. Rara pindakaas.

Medewerkers kunnen nog wel onderling e-mailen, maar niet meer met de buitenwereld, zei Marthyne Kunst van het OM-crisisteam tegen de NOS. "Dat betekent dat we weer heel veel moeten printen en op papier de deur uit moeten doen."

https://nos.nl/artikel/2576053

Wat ik mis in dit artikel (mischien staat het wel achter de nrc paywall) is welk moment de update is geinstaleerd. Want er waren drie momenten dat er aanbeveling was om dit te installeren. Eerste daarvan was al in Juni en toen in Juli was de melding opgeschaald vanuit de leverancier en kort daarna heeft NCSC de aanbeveling ook gegeven.

Als ze het meteen in Juni deden dan is er weinig dat ze hier direct tegen konden doen behalve hun SIEM, IDS infra en monitoring doorlichten. Als ze hebben gewacht tot tweede melding dan is er aanzienlijke tijd geweest dat de omgeving kwetsbaar was en dan is het een wassen neus dat de update reeds was uitgevoerd

Hoe dan ook verstandig de stekker eruit te trekken en ik wil niet weten hoeveel intern gezeik daarover moet zijn geweest gekeken naar ministerie IT mentaliteit.

Voor zover is kan zien had men dit kunnen voorkomen.


Dan moet je wel proactief zijn en visie hebben en geen "checklist afvink mentaliteit" hebben.

Daarover deed of doet het OM vooralsnog geen mededeling, naar ik vermoed om de vijand niet wijzer te maken:


https://www.nrc.nl/nieuws/2025/07/22/digitale-werkomgeving-om-inderdaad-gehackt-onderzoek-moet-uitwijzen-welke-informatie-is-gestolen-a4901019

NCSC treft malware aan op Citrix NetScaler-servers van organisaties
woensdag 23 juli 2025, 10:13 door Redactie

https://www.security.nl/posting/897617/NCSC+treft+malware+aan+op+Citrix+NetScaler-servers+van+organisaties

De instantie zag reeds op 16 juli sporen van mogelijk misbruik bij verschillende organisaties, waaronder in Nederland.

HEtbericht dat Citrix NetScaler-servers van het Openbaar Ministerie zijn gecompromitteerd, legt een aantal fundamentele tekortkomingen bloot in het beveiligings- en crisisbeheer van een cruciale overheidsinstelling. Hoewel het positief is dat het OM melding heeft gedaan bij de Autoriteit Persoonsgegevens en aangifte heeft gedaan bij de politie, roept de gang van zaken grote vragen op over de inrichting van patchmanagement, detectie en incidentrespons.

Het OM stelt dat de beveiligingsupdate al was geïnstalleerd toen het Nationaal Cyber Security Centrum hen waarschuwde voor actieve exploits. Toch lijkt het erop dat de aanvallers vóór de uitrol van de patch al toegang hadden verkregen. Dit wijst op een bekend probleem: onvoldoende proactieve monitoring en gebrek aan eigen dreigingsdetectie. Het is zorgwekkend dat een organisatie die werkt met uiterst gevoelige informatie afhankelijk is van externe signalen om een mogelijk compromis te ontdekken. Zeker omdat Citrix-lekken al jaren een aantrekkelijk doelwit zijn voor kwaadwillenden, had juist hier een strak patchbeleid en actieve dreigingsbewaking voorop moeten staan.

Daarnaast is de vertraging in besluitvorming verontrustend. Het OM werd woensdagavond door het NCSC geïnformeerd, maar pas donderdagavond werd besloten alle systemen los te koppelen. In de context van een hoogkritieke kwetsbaarheid, waar bekend is dat deze actief wordt misbruikt, is een vertraging van 24 uur onverantwoord. Dit wijst op onvoldoende voorbereide draaiboeken en gebrekkige crisiscoördinatie. Bij dergelijke incidenten geldt: iedere minuut telt.

Nog zorgwekkender is de impact van het incident: vijftienhonderd servers moeten worden opgeschoond en opnieuw online gebracht. Dit suggereert dat de aanvallers mogelijk brede toegang hebben gehad, of dat de infrastructuur onvoldoende is gesegmenteerd. Voor een organisatie als het OM, waar informatiebeveiliging van vitaal belang is, is dit onacceptabel. Het benadrukt opnieuw het belang van een Zero Trust-architectuur en strikte netwerksegmentatie om te voorkomen dat één kwetsbaarheid leidt tot een massale compromittering.

Tot slot is de reactie richting de buitenwereld op zijn minst ongelukkig. Dat het OM betreurt dat interne informatie naar de pers is gelekt, klinkt defensief en verschuift de aandacht van de kern: een ernstige inbreuk die de rechtsstaat raakt. Burgers en politiek hebben recht op transparantie over hoe dit heeft kunnen gebeuren en welke maatregelen worden genomen om herhaling te voorkomen.

Dit incident laat zien dat er structureel iets moet veranderen. Niet alleen bij het OM, maar breed binnen de overheid en kritieke infrastructuur. Snellere patchprocedures, betere detectiecapaciteit, duidelijke noodscenario’s en een moderne beveiligingsarchitectuur zijn geen luxe, maar randvoorwaarden om de continuïteit van essentiële diensten en het vertrouwen van de samenleving te waarborgen.

Op 18 juni 2025 schreef ik op security.nl:

En ja hoor...we lezen nu op 23 juli 2025 het volgende bericht:

Op Tweaker reactie met gereconstrueerde tijdlijn van nieuwsvolger (dus niet bevestigd, noch ontkend)

https://tweakers.net/nieuws/237396/openbaar-ministerie-bevestigt-dat-lek-in-citrix-netscaler-is-misbruikt.html

Die luidt als volgt:

Wat ik nog steeds niet snap is dat ze het voorbeeld van Defensie niet volgen. Die heeft hun citrix meuk achter een VPN zitten dat de Citrix omgeving niet direct vanaf internet bereikbaar is.

ICT omgeving van OM is complexer, niet alleen van advocaten en openbaar ministerie, kijk op de site van IVON:

https://www.om.nl/organisatie/informatievoorziening-om-ivom/digitalisering

Ik las iets over 1500 servers (NRC citaat)


Hoe zat het ook al weer met die Nafin storing (zomer 23?) die vliegverkeer Eindhoven platlegde, iets met oud KPN glasvezel netwerk meen ik, en een klok die niet helemaal gelijk liep. Viel samen met verhuizing Torentje Binnenhof en de zestig ambtenaren die met staatsgeheimen moesten werken, al werd samenhang tussen een politeke kwestie en IT incident, in alle toonaarden ontkend.

Jezus zeven dagen over een beveiliging patch doen? (als dit waar is) Zelf geen kritieke infra maar hier gaan beveliging patches binnen 24 uur doordeweeks erop in batches van servers en in weekend binnen uiterlijk 48 uur. Gaat iets mis dan pak je gewoon snapshot van voor de patch voor de eerste batch en plan je uitgebreidere tests tot het wel goed gaat. Als de eerste batch zonder problemen gaat ga je naar de volgende batch enzovoort.

Hopelijk gaan ze nu toch wel eens de toegestane tijd inkorten want een week is een eeuwigheid in exploits en risico van korte downtime voor rollback vs weken downtime en vertrouwelijkheids schade is een hele makkelijke keuze lijkt me.
Zal wel weer te convoluted change management zijn zoals zovaak in dit soort organisaties.

Of je scant je backup infra op infiltratie van een dag voor de patch release en als dat wel nog schoon is trek je de schijven er fysiek uit en plaats nieuwe erin laadt images terug donderd hele firewall infra tegelijk opslot patched de boel middels offline mediums en verifieert de patch uitrol. Daarna herstel van firewall regels en hervat productie deel voor deel met tijdelijk verscherpte monitoring

Ben je tijdelijk werk kwijt van moment vlak voor de patch en nu but who cares nu kunnen ze al helemaal niks online voor weken mogelijk maanden. Offline audit kan dan gewoon doorgaan in malwarelabs met sporen analyse en productie kan door werken zit je elkaar niet in de weg. Kost nog steeds wel een week setup tijd maar vele malen korter voor productie door kan. Enige waar je mee zit is de fysieke logistiek en bemachtiging van genoeg vervangende drives maar het lijkt me dat OM genoeg budget heeft om dat te regelen of vanaf meerdere locaties in te vliegen, verschepen.

Triest hoe hun infra in elkaar steekt. Komt niet echt professioneel over.

Niet handig om een Citrix omgeving direct aan de buitenkant te hangen.
In het algemeen is het niet handig. Ongeacht welke applicatie.

Vooral als het gaat om erg gevoelige gegevens.

Dit omdat de leverancier altijd wel ergens een fout in de code heeft zitten.
Als een hacker dit eerder ontdekt dan de leverancier dan ben je te laat.

Gebruik een goede VPN en splits dit op in Beveiliging groepen en
applicatie lagen. Gebruik goede routering met Monitoring en En IDS systemen met honeypots
Op de verschillende lagen.

Zorg voor een duidelijk overzicht e.d.

Je zult met verschillende lagen moeten werken. honeypots gebruiken Of chroot jails voor software isolatie.

Verschillende interne LAN en WAN DMZ afscheidingen maken. Gebruik Wireguard VPN. Is zeer robuust en niet eenvoudig om hier in te breken. Gebruik Crowsec en of Mailtrail en koppel dit als rules aan je firewall.

Dit alles kan je zelfs met Linux bouwen. Maar ja overal Microsoft. Niet handig.

Gebruik een goede SIEM zodat je een overzicht behoud ongeacht de complexiteit
Wazuh bijvoorbeeld. Maar de meeste beheerders lijken het bij Microsoft te houden.

Denk dat de kennis en of tijd en of resource niet voldoende zijn
en of management is de baas en maakt verkeerde keuzes. Dit lijkt veel bij de overheid voor te komen. Erg gevaarlijk. Zeker nu AI steeds meer naar voren komt. Dit gaat een keer heel slecht aflopen.

Netwerken en routering kan je heel goed met Linux opbouwen binnen virtualisatie KVM QEMU
Je zult een goede heldere architectuur moeten opzetten en regelmatig evalueren. Denkelijk zijn er ook te weinig Linux beheerders, en mensen met goede netwerk kennis. Dus capaciteit problemen.

Denkelijk is hier niet sprake van een layered security systeem. Als je alles gaat afsluiten.
En geen segmentering hebt. En of geen monitoring en overzicht. Dan weet je al genoeg.

Een aanzienlijk aantal is Redhat Linux bij het OM. Zijn deze ook gecompromitteerd omdat ze de domme fout hebben gemaakt met Active Directory te joinen?
Misschien kan Fujitsu meer vertellen: https://www.dutchitchannel.nl/news/65106/fujitsu-doet-beheer-kantoorautomatisering-voor-om-medewerkers

Het is natuurlijk makkelijk om weer tegen de overheid te schoppen en zeggen dat ze te laat waren met patchen oid, maar laten we even de echte oorzaak erbij pakken> Citrix. De verantwoordelijkheid van CItrix is onzettend laks en traag geweest op deze zeer ernstige exploits. De eerste citirx bleeder exploit was al in ookt 2024 en werd maar half gepatched. Ik beheer zelf netscalers en patch deze. De kwaliteit van deze patches is ongelooflijk slecht. Alsof ze zelf niets meer testen bij citrix. Een patch maakt vaak meer kapot en er komen weer nieuwe lekker daardoor naar boven. Een patch wordt vaak weer opgevolgd door een nieuwe patch paar dagen later opnieuw omdat ze toch nog niet alles goed dichtgezet hebben. Deze bleeder heeft inmiddels al 7 patches! Doe het dan in 1x goed? Citrix was al veel langer op de hoogte hiervan maar heeft zelf nagelaten om hier snel en adequaat een patch voor de maken.

Wat heeft het voor zin als eindgebruiker van het product netscaler als op 1 juli er officeel High HIgh melding komt bij het NCSC en dat je binnen 1 uur het gaat patchen , terwijl het lek er al de hele versie in zat!?. Een versie die je soms al wel maanden in gebruik heb gehad en dus al die tijd hacker de kans heeft gegeven om te misbruiken? Een exploit direct of binnen het uur patchen nadat er een update voor uit is wil niet zeggen dat je dan niet gehack kan worden. De kans is groot dat je al gehackt ben! En dat is precies wat er nu bij het OM ook gebeurd is. Ja ze hebben wat laat gepatched, maar ze waren al veel eerder gehackt, toen er nog geen patch voor handen was. Wanneer worden fabrikanten als Fortigate (SSLVPN verhaal) en Citrix eens verantwoordelijk gesteld voor hun broddelwerk qua software wat ze afleveren?
Het is tegenwoordig allemaal Agile werken, snel zo veel mogelijk features en toeters en bellen erin proppen en security en patchen 'komt later wel'..

Inderdaad mooi dat Wireguard. Echter volgens de BIO moet de overheid gebuik maken van de door de AIVD geevalueerde producten:
https://www.aivd.nl/onderwerpen/informatiebeveiliging/ontwikkeling-en-evaluatie-beveiligingsproducten/geevalueerde-producten

Ik zie Citrix overigens ook niet op de lijst staan???