De Citrix-systemen van meerdere vitale Nederlandse organisaties zijn via een kritieke kwetsbaarheid gehackt, zo laat het Nationaal Cyber Security Centrum (NCSC) vandaag weten. Om welke organisaties het gaat is niet bekendgemaakt. Op het moment van de aanvallen was er geen update voor het beveiligingslek (CVE-2025-6543) beschikbaar. Citrix kwam op 25 juni met patches, maar volgens het NCSC is er zeker sinds begin mei misbruik van de kwetsbaarheid gemaakt.

Volgens het NCSC laat forensisch onderzoek bij getroffen organisaties zien dat er actief sporen zijn uitgewist door de aanvaller. "Dit maakt forensisch onderzoek uitdagend", aldus de overheidsinstantie. "Op dit moment lopen er verschillende onderzoeken naar de reikwijdte, aard en impact van de aanvallen. Samen met getroffen organisaties, incidentresponspartijen en partners uit de veiligheidsketen vinden we nog steeds nieuwe indicatoren, waarmee we andere organisaties in Nederland helpen om hun eigen onderzoek te verrichten." Wanneer organisaties sporen van misbruik aantreffen wordt gevraagd het NCSC te informeren. De overheidsinstantie werkt aan een script waarmee organisaties hun systemen kunnen controleren.

Het NCSC waarschuwt dat het patchen van de kwetsbaarheid niet inhoudt dat een eerdere compromittering is opgelost. "Een kwaadwillende kan de eerder verkregen toegang tot een systeem behouden, ook nadat de kwetsbaarheid is gepatcht. Hierdoor blijft het risico op aanhoudend misbruik aanwezig doordat de kwaadwillende kan terugkeren op het eerder gecompromitteerde systeem."

Onlangs maakte het Openbaar Ministerie bekend dat aanvallers op de Citrix-omgeving hadden ingebroken. Via de NetScaler Gateway (eerder bekend als Citrix Gateway) kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn.