Het Nederlandse Nationaal Cyber Security Centrum (NCSC-NL) waarschuwt dat een ernstig lek in Citrix NetScaler ADC doelgericht is misbruikt om binnen te dringen bij organisaties. Het gaat om CVE-2025-6543, een kwetsbaarheid met een CVSS-score van 9,2 die systemen treft wanneer NetScaler als Gateway of AAA-server is ingericht. Onderzoek wijst erop dat het lek al sinds begin Mei 2025 als zogeheten zero-day is uitgebuit, weken voor de publieke bekendmaking eind Juni. Op 16 Juli werd het misbruik bevestigd, want Citrix bracht patches uit voor tak 14.1 (vanaf 14.1-47.46), 13.1 (vanaf 13.1-59.19) en 13.1-FIPS/NDcPP (vanaf 13.1-37.236). Het lek staat sinds 30 Juni op de KEV-lijst van de Amerikaanse CISA. In dezelfde productlijn is ook CVE-2025-5777 (CVSS 9,3) aangemerkt als actief misbruikt.
Volgens het NCSC-NL zijn bij getroffen apparaten malafide webshells aangetroffen, dit zijn stukjes code die aanvallers achterdeurtjes geven om op afstand commando’s uit te voeren en sporen te wissen. Wie een NetScaler inzet voor VPN of applicatie-toegang, loopt daardoor reëel risico op sessiekaping, datadiefstal en verstoring van bedrijfsprocessen.
Veel organisaties, van financiële instellingen tot overheid en zorg in Suriname, die Citrix mochten gebruiken voor externe en beveiligde toegang, moeten weten dat een lek op dit niveau kan leiden tot uitval van diensten, reputatieschade en meldplichten richting klanten en partners. Avigdor, Surinaams cybersecuritybedrijf, raadt organisaties aan vandaag nog te verifiëren of hun NetScaler-versies bijgewerkt zijn naar de genoemde patchniveaus. Na het upgraden moeten alle actieve sessies ongeldig worden verklaard en nieuwe inlogtokens worden afgedwongen; laat systeembeheerders expliciet alle gateway- en AAA-sessies beëindigen en vervolgens wachtwoorden en API-sleutels roteren. Controleer NetScaler-systeemmappen op onverwachte .php-bestanden, kijk of er recent beheerdersaccounts zijn aangemaakt en doorzoek logs op afwijkende inloglocaties. Waar mogelijk hoort toegang tot Citrix achter Multi-Factor Authenticatie te staan, met bronlimitatie op IP-ranges en strikte “least-privilege”-rollen.
Burgers en medewerkers moeten alert blijven op phishing en ongewone MFA meldingen. Krijgt u onverwacht een verzoek om een aanmelding te bevestigen, weiger dit en meld het direct bij de IT afdeling. Werkt u thuis via een werk VPN, werk dan apparaat en antivirus bij en wijzig werkgerelateerde wachtwoorden zodra de organisatie dat vraagt.
Avigdor benadrukt dat snelle triage doorslaggevend is van patchen, sessies ongeldig maken, logbestanden veiligstellen en vervolgens een forensische controle op achterdeurtjes. Organisaties zonder eigen SOC doen er verstandig aan dit uit te besteden aan Avigdor en een 72-uur herstelplan paraat te hebben voor netwerktoegang, identity-systemen en kritieke applicaties. Wie hulp nodig heeft bij validatie, logreview of incidentrespons kan zich rechtstreeks tot Avigdor wenden; wij leveren een korte nulmeting, sluiten het lek af en helpen met rapportage en versterking van de basismaatregelen, zodat Surinaamse bedrijven veilig door kunnen werken.
