De meeste Citrix-systemen in Nederland hebben binnen een dag een beveiligingsupdate ontvangen die een kritieke en actief aangevallen kwetsbaarheid verhelpt. Bijna vijfhonderd systemen zijn echter nog kwetsbaar voor het beveiligingslek, aangeduid als CVE-2025-7775, aldus The Shadowserver Foundation op basis van eigen onderzoek.

CVE-2025-7775 is een kwetsbaarheid die het mogelijk maakt voor een ongeauthenticeerde aanvaller om op afstand code op kwetsbare Citrix-systemen uit te voeren. Op 26 augustus kwam Citrix met patches, maar misbruik vond al voor het uitkomen van de updates plaats. Hoeveel Citrix-systemen inmiddels zijn gecompromitteerd en sinds wanneer CVE-2025-7775 bij aanvallen wordt misbruikt is onbekend.

The Shadowserver Foundation is een stichting die geregeld onderzoek doet naar kwetsbare systemen die vanaf internet toegankelijk zijn. Op het moment dat Citrix de updates uitbracht telde de stichting 28.200 kwetsbare Citrix-systemen, waarvan zo'n 1300 in Nederland. Het aantal ongepatchte Citrix-systemen wereldwijd is inmiddels gedaald naar 21.500. In Nederland was een sterkere daling van kwetsbare machines te zien. Het aantal ongepatchte Citrix-systemen ging in één dag van 1297 naar 475. In België zijn volgens The Shadowserver Foundation inmiddels 235 van de 307 waargenomen Citrix-systemen gepatcht. De meeste kwetsbare machines bevinden zich in de Verenigde Staten gevolgd door Duitsland en het Verenigd Koninkrijk.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwde eerder dat het op korte termijn grootschalig misbruik van CVE-2025-7775 verwacht. Via Citrix kunnen medewerkers van bedrijven en organisaties op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt veel voor thuiswerken gebruikt. De impact van een gecompromitteerd Citrix-systeem kan dan ook groot zijn.