NCSC publiceert scripts voor controleren van Citrix-systemen
Het Nationaal Cyber Security Centrum (NCSC) heeft vandaag op GitHub twee scripts gepubliceerd waarmee organisaties zelf kunnen controleren of hun Citrix-systemen zijn gecompromitteerd. Afgelopen maandag meldde de overheidsdienst dat de Citrix-systemen van meerdere, niet nader genoemde, vitale Nederlandse organisaties zijn gecompromitteerd bij aanvallen. De checkscripts zijn voorzien van nieuwe indicators of compromise die zijn gevonden naar aanleiding van recent forensisch onderzoek van het NCSC en zijn nog niet eerder gecommuniceerd.
Het NCSC roept organisaties op om de nieuwe checkscripts op hun Citrix NetScaler-apparaten uit te voeren. "Als forensisch onderzoek door middel van de checkscripts niet (tijdig) wordt uitgevoerd, bestaat de kans dat compromittatie van systemen onopgemerkt zal blijven en de kwaadwillende actor toegang behoudt", aldus de overheidsdienst. Organisaties die vermoeden dat hun Citrix-systemen zijn gecompromitteerd worden gevraagd om contact met het NCSC op te nemen.
Citrix is een populaire oplossing waarmee organisaties medewerkers kunnen laten thuiswerken. Verschillende kwetsbaarheden in het platform (CVE-2025-5777, CVE-2025-6543 en CVE-2025-5349) zijn de afgelopen maanden bij aanvallen gebruikt. Bij onderzoek van het NCSC naar Citrix-systemen in Nederland bleek dat er meerdere met webshells waren geïnfecteerd. Hiermee kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren.
1. Diepe infiltratie en persistentie: De aanvallers hebben webshells en backdoors geïnstalleerd op strategische locaties binnen het NetScaler-bestandssysteem, zoals in de portal-templates directory. Dit wijst op zorgvuldige planning voor langdurige toegang, waarbij systemen mogelijk maandenlang gecompromitteerd zijn zonder detectie.
2. Geavanceerde verbergingstechnieken: Het gebruik van timestomping (het manipuleren van bestandstijden), dubbele bestandsextensies en het camoufleren van kwaadaardige processen als legitieme systeemprocessen toont een hoog niveau van expertise in anti-forensische technieken.
3. Netwerkdominantie: De mogelijkheid tot lateral movement binnen het netwerk, blijvend uitgaand verkeer naar verdachte externe servers, en het manipuleren van ICAClient-verbindingen suggereren dat de aanvallers niet alleen toegang hadden tot de NetScaler-systemen, maar mogelijk ook tot verbonden netwerksegmenten.
4: Operationele volwassenheid: Het feit dat de scripts zowel disk-based als memory-based IOCs detecteren, in combinatie met pogingen om concurrente hackers uit te schakelen (via kill-commando's), wijst op een professionele aanvalscampagne eerder dan geïsoleerde aanvallen. [Mbv DeepSeek].
Laat dit maar de voorbeeld zijn voor het NCSC.
Mss kan op Europese schaal nog doortastender worden opgetreden waardoor data niet alsnog via een lek bij een verwerker in het buitenland bekend raakt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?