NCSC treft malware aan op Citrix NetScaler-servers van organisaties
Het Nationaal Cyber Security Centrum (NCSC) heeft malware op de Citrix NetScaler-servers van verschillende organisaties aangetroffen. Het gaat om webshells waarmee een aanvaller toegang tot een server kan behouden en verdere aanvallen kan uitvoeren. Om welke organisaties het precies gaat laat het NCSC niet weten. Aanvallers kunnen door gebruik te maken van kwetsbaarheden webshells op servers plaatsen. Het NCSC zegt dat het nog niet kan vaststellen welke kwetsbaarheden hierbij zijn gebruikt.
De overheidsinstantie zag op 16 juli sporen van mogelijk misbruik bij organisaties, waaronder in Nederland. "Het NCSC doet met cybersecuritypartners forensisch onderzoek naar verschillende incidenten. Hieruit blijkt dat de eerste sporen van misbruik in Nederland wijzen naar begin juni 2025. We houden ook rekening met eerder misbruik." Het NCSC geeft verder aan dat het contact heeft opgenomen met partijen waar mogelijk misbruik is gevonden. Daarnaast roept het organisaties op om zelf onderzoek naar hun Citrix NetScaler-servers te doen. "Niet al het misbruik kan worden waargenomen door het NCSC."
Verder herhaalt de overheidsinstantie dat edge devices zoals Citrix NetScaler populaire doelwitten voor aanvallers zijn. "Geavanceerde actoren investeren capaciteit en middelen om onderzoek te doen en kwetsbaarheden te identificeren. Misbruik van een kwetsbaarheid kan een aanvaller in staat stellen om ongezien toegang tot een achterliggend netwerkt te krijgen. Doordat vrijwel iedere organisatie één of meerdere edge devices in beheer heeft, en deze via het internet te bereiken zijn, zien kwaadwillenden edge devices als een interessant doelwit."
Wat mij vooral opvalt: “We weten nog niet welke kwetsbaarheid is gebruikt.” Oké, maar als er al sinds begin juni sporen zijn, dan kun je rustig aannemen dat de aanvallers hun CVE-collectie netjes op orde hadden. Citrix-servers zijn nou eenmaal de VIP-ingang voor wie snel binnen wil. MFA? Segmentatie? Monitoring? Ach, dat is voor nerds, toch?
Het mooiste is dat het NCSC zegt: “Niet al het misbruik kan worden waargenomen door ons.” Met andere woorden: succes ermee, sysadmins! Het is alsof de brandweer belt: “Uw huis staat misschien in brand, maar check het zelf even, wij kunnen niet overal zijn.”
Moraal van het verhaal: edge devices zijn niet ‘set and forget’. Als jouw Citrix direct aan het internet hangt zonder serieuze patchstrategie, is dat niet “digitale transformatie”, dat is digitale Russische roulette.
Het mooiste is dat het NCSC zegt: “Niet al het misbruik kan worden waargenomen door ons.” Met andere woorden: succes ermee, sysadmins! Het is alsof de brandweer belt: “Uw huis staat misschien in brand, maar check het zelf even, wij kunnen niet overal zijn.”
Waarom zou het NCSC hier verantwoordelijk voor moeten worden gehouden? Het zijn in de eerste plaats de organisaties zelf die verantwoordelijk zijn voor monitoring en handelen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?