De hackers zaten al in het kantoor: Waarom Citrix-gebruikers nu moeten handelen

Door Max van der Linden, Senior Security Specialist

Stelt u zich uw kantoorgebouw eens voor. De voordeur heeft een elektronisch slot en er staat een bewaker bij de balie. Alle medewerkers gebruiken hun badges, bezoekers checken in en alles voelt veilig aan.

Maar maanden geleden ontdekte iemand een zwakke plek in het slot van de voordeur. Hierdoor konden ze vrij in en uit het gebouw lopen. Terwijl ze binnen waren, hadden ze de kans om geheime tunnels te bouwen die naar de kelder leidden, een zijraam in het beveiligingskantoor te openen en misschien zelfs microfoons in de vergaderzalen te plaatsen.

Dit is wat er nu gebeurt met Citrix NetScaler apparaten.

De inbraak

Uw NetScaler is die beveiligde voordeur voor werknemers die op afstand inloggen. Het zou de enige veilige manier moeten zijn om het gebouw van buitenaf binnen te komen.

De kwetsbaarheid CVE-2025-6543 is als een probleem met het slot waardoor aanvallers naar binnen kunnen lopen zonder een badge te swipen.

Dit maakt het mogelijk om:

• Webshells te installeren, wat zoiets is als een geheime tunnel bouwen voor het geval het slot gerepareerd wordt, maar de aanvaller nog steeds naar binnen wil.
• De bezoekerslogs te wissen zodat de beveiliging niet weet dat ze er zijn geweest.

Daarnaast zijn er nog meer problemen die onlangs verholpen zijn:

• CVE-2025-5777 is net zoiets als een verborgen archiefkast in de lobby die privé-notities en hoofdsleutels lekt naar iedereen die weet waar hij moet kijken.
• CVE-2025-5349 is hetzelfde als de deur van de controlekamer niet op slot laten zodat iedereen naar binnen kan sluipen en met de systemen van het gebouw kan knoeien.

Hier is de oplossing

Citrix heeft nu het defecte slot vervangen, de archiefkast verwijderd en de deur van de controlekamer weer op slot gedaan, maar een aanvaller had maanden daarvoor al binnen kunnen zijn.

Zelfs als u het slot op de eerste dag van de reparatie hebt vervangen, kunnen de tunnels, verborgen ingangen en niet afgesloten ramen er nog steeds zijn.

Wat moet er gedaan worden

1. Het voorste slot vervangen

Installeer de nieuwste Citrix Security updates. Als uw voordeur nog steeds het oude slot heeft, kunnen indringers nog steeds naar binnen lopen.

2. Ontruim het gebouw

Dwing iedereen om het gebouw te verlaten en laat ze hun toegangspasje zien als ze weer naar binnen willen. In NetScaler betekent dat:

kill icaconnection -all
kill pcoipConnection -all
kill aaa sessie -all
rdp-verbinding doden -all
clear lb persistentSessions

3. Zoeken naar tunnels en verborgen ingangen

• Gebruik de scantools van het Nederlandse NCSC om geplante bestanden en backdoors te vinden: https://github.com/NCSC-NL/citrix-2025
• Controleer elke "verdieping" (systeemdirectory) op dingen die daar niet horen te staan
• Zoek naar nieuwe "mastersleutels" (beheerdersaccounts) die u niet hebt uitgegeven

4. Wijzig alle sleutels en alarmcodes

• Reset alle beheerderswachtwoorden
• Geef VPN-tokens en certificaten opnieuw uit

5. De controlekamer beveiligen

• Houd het NetScaler beheerpaneel weg van het open internet
• Sta alleen toegang toe vanaf een kleine lijst met vertrouwde bronnen (IP-adressen)

6. Bewaak de camera's

• Zet volledige logging aan
• Let op ongebruikelijke badges (logins), vreemde uren of wijzigingen in gebouwsystemen

Als u op ongewoon gedrag stuit, een verborgen tunnel ontdekt of hulp nodig hebt. Neem contact op met onze verkoopvertegenwoordigers op cybersecurity@bureauveritas.com

De echte les

Dit gaat niet alleen over het veranderen van het slot van de voordeur. Het gaat om het vinden en sluiten van elke geheime ingang die de inbreker heeft achtergelaten. Als u alleen het slot verwisselt en wegloopt, kan er nog steeds iemand in de kelder zitten, aangesloten op uw bedrading, wachtend op het juiste moment om toe te slaan.

BRONNEN:

https://thehackernews.com/2025/08/dutch-ncsc-confirms-active-exploitation.html
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&artic%5B%E2%80%A6%5Dteway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777=