Duizenden Citrix-servers missen patches voor twee actief aangevallen kwetsbaarheden, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. Voor beide beveiligingslekken, CVE-2025–5777 en CVE-2025-6543, zijn respectievelijk sinds 17 en 25 juni updates beschikbaar. Maandag meldde het Nationaal Cyber Security Centrum (NCSC) dat aanvallers al sinds begin mei misbruik van CVE-2025-6543 maken. CVE-2025–5777, ook bekend als CitrixBleed 2, zou kort na het uitkomen van de patch bij aanvallen zijn misbruikt.

The Shadowserver Foundation, een stichting die zich onder andere bezig houdt met onderzoek naar kwetsbare systemen op internet, deed een online scan naar Citrix-servers. Meer dan 3300 systemen missen de update voor CVE-2025–5777 en meer dan 4200 zijn kwetsbaar voor aanvallen via CVE-2025-6543. Beide beveiligingslekken maken het mogelijk voor aanvallers om op afstand Citrix-servers te compromitteren. In Nederland zijn volgens The Shadowserver Foundation 68 systemen kwetsbaar voor CVE-2025-6543 en 49 voor CVE-2025–5777. De meeste kwetsbare servers werden waargenomen in de Verenigde Staten, China en Duitsland.

Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan groot zijn. Eerder besloot het Openbaar Ministerie wegens gecompromitteerde Citrix-systemen offline te gaan. Volgens het NCSC zijn Citrix-systemen van meerdere vitale Nederlandse organisaties via CVE-2025-6543 gecompromitteerd. Namen en aantallen zijn niet genoemd. In 2020 zorgde een andere kwetsbaarheid ervoor dat organisaties hun Citrix-servers massaal uitschakelden, wat onder andere tot langere files op de Nederlandse snelwegen leidde, aldus de ANWB destijds.