Nieuws
image

NCSC-script kan ook misbruik van nieuwe Citrix-lekken detecteren

woensdag 27 augustus 2025, 10:39 door Redactie, 7 reacties

Het Nationaal Cyber Security Centrum (NCSC) heeft een eerder gepubliceerd script aangepast zodat organisaties webshells op hun Citrix-systemen kunnen detecteren die daar via nieuwe kwetsbaarheden op zijn geplaatst. Webshells zijn malware waarmee een aanvaller toegang tot een gecompromitteerde server kan behouden, ook als die daarna wordt gepatcht, en verdere aanvallen uitvoeren.

Het NCSC publiceerde op 13 augustus een eerste versie van het detectiescript voor het detecteren van webshells die via een beveiligingslek aangeduid als CVE-2025-6543 op Citrix-systemen waren geplaatst. Gisteren kwam Citrix met beveiligingsupdates voor drie nieuwe kwetsbaarheden, waarvan er één (CVE-2025-7775) al voor het uitkomen van de patches actief bij aanvallen is gebruikt.

Naar aanleiding van de nieuwe kwetsbaarheden meldt het NCSC dat het detectiescript ook te gebruiken is om de aanwezigheid van webshells te detecteren die via de nieuwe beveiligingslekken op systemen zijn geplaatst. Er is daarbij ook gisteren een nieuwe versie van het script verschenen. CVE-2025-7775 betreft een kritieke kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare Citrix-systemen kan uitvoeren.

Citrix stelt dat misbruik alleen bij bepaalde configuraties mogelijk is. "Het NCSC heeft nader onderzoek gedaan en dat toont aan dat de kwetsbare configuratie zeer veel voorkomt waardoor grootschalig misbruik waarschijnlijk wordt", laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn.

Reacties (7)
Reageer met quote
Vandaag, 10:50 door Anoniem
Er zijn geen concrete wijzigingen in het script en het script van 15 augustus... alleen een toegevoegde comment over CVE-2025-6543. Vreemd.
Reageer met quote
Vandaag, 12:16 door linuxpro
Wellicht die citrix rommel niet meer rechtstreeks aan internet hangen en net zoals ze dat bij bijv. MinDef doen achter een VPN. Maakt het al een stuk lastiger om van de met grote regelmaat terugkerende citrix ellende misbruik te maken.
Reageer met quote
Vandaag, 13:25 door Anoniem
Door linuxpro: Wellicht die citrix rommel niet meer rechtstreeks aan internet hangen en net zoals ze dat bij bijv. MinDef doen achter een VPN. Maakt het al een stuk lastiger om van de met grote regelmaat terugkerende citrix ellende misbruik te maken.
Ook zeer gebruikers onvriendelijk, lastig en complex. Extra software op je client nodig.

VPN's hebben trouwens ook tegenwoordig grote security issues. Zoals Sonicwall.Pulse VPN.
Reageer met quote
Vandaag, 13:49 door Anoniem
Door linuxpro: Wellicht die citrix rommel niet meer rechtstreeks aan internet hangen en net zoals ze dat bij bijv. MinDef doen achter een VPN. Maakt het al een stuk lastiger om van de met grote regelmaat terugkerende citrix ellende misbruik te maken.

Citrix is ook VPN.
De Web App is een plug-in in the browsers.
En een VPN backend kan ook gehacked worden.
Reageer met quote
Vandaag, 14:30 door Anoniem
Door linuxpro: Wellicht die citrix rommel niet meer rechtstreeks aan internet hangen en net zoals ze dat bij bijv. MinDef doen achter een VPN. Maakt het al een stuk lastiger om van de met grote regelmaat terugkerende citrix ellende misbruik te maken.
In dit artikel staat nergens dat het om de bekende kwetsbaarheid gaat in de Citrix Netscaler (ADC) anders had je de opmerking waarschijnlijk niet gemaakt. Er vanuit gaand dat je weet wat de functie van een Nertscaler is.
Reageer met quote
Vandaag, 15:22 door Anoniem
Door Anoniem:
Door linuxpro: Wellicht die citrix rommel niet meer rechtstreeks aan internet hangen en net zoals ze dat bij bijv. MinDef doen achter een VPN. Maakt het al een stuk lastiger om van de met grote regelmaat terugkerende citrix ellende misbruik te maken.

Citrix is ook VPN.
De Web App is een plug-in in the browsers.
En een VPN backend kan ook gehacked worden.

Discussie over woorden en definities. Alles kan gehacked worden immers.

Ik ben wel blij met deze tool. NCSC is weer goed bezig.
Reageer met quote
Vandaag, 16:32 door Anoniem
Citrix heeft ook een hybrid cloud licentie model waarmee je dezelfde desktops en applicaties nog steeds on-prem kan hosten maar kan ontsluiten via de Citrix Cloud, dan hoef je geen NetScaler Gateways en AAA servers te ontsluiten aan het internet en ben je veel minder vatbaar voor NetScaler ADC vulnerabilities. Kost iets extra per user maar neemt heel veel risico weg zonder dat je een complete migratie moet doen naar Azure Virtual Desktop of bijvoorbeeld VMWARE horizon. En voor de user veranderd alleen de store URL (die je makkelijk van de oude naar de nieuwe kan redirecten).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure