OM gaat offline door beveiligingsprobleem, datalek niet…

Op dit moment is de Citrix netscaler CVE de enige lopende CVE bij Citrix. Je kan dus bijna met zekerheid zeggen dat het om dezelfde kwetsbaarheid gaat.

[ Voor 3% gewijzigd door joeri681 op 18-07-2025 11:33 ]

Ik heb het nagekeken. Donderdag is er een Tweede Kamerbrief uitgegaan van Minister van Justitie en Veiligheid David van Weel, waarin hij bevestigt dat het om een lek gaat in Citrix NetScaler. Ik heb dat toegevoegd aan het artikel. Thanks voor je oplettendheid!

Eppo © schreef op vrijdag 18 juli 2025 @ 11:20:
Artikel: nieuws: OM gaat offline door beveiligingsprobleem, datalek niet uitgesloten
Auteur: @Imre Himmelbauer

In het nieuwsbericht word het offline gaan van het OM en de lek in Citrix in 1 adem genoemd, maar ik kon nergens uit de bron halen of die 2 ook iets met elkaar te maken hebben. De NRC schrijft het ook wel redelijk suggestief, maar volgens mij kan je niet concluderen dat die 2 1 op 1 iets met elkaar te maken hebben en dat het OM inderdaad laks is geweest met het updaten van hun Citrix omgeving.

Aanvullend, er word ook nergens vermeld dat OM laks is geweest met de update. Voor zover bekend hebben ze die netscalers vrij direct daarna gepatched. Alleen dat in het onderzoek wat daarna gestart is, er gebleken dat er toch aanwijzigen zijn dat er misbruik van is gemaakt van dat lek. Nog voordat die patch doorgevoerd is (en waarschijnlijk zelfs al voor de patch er was)

Eppo © schreef op vrijdag 18 juli 2025 @ 11:50:
@joeri681 Misschien zit het probleem helemaal niet in Citrix en gaat het fout bij 1 van de andere programma's die het OM gebruikt?

Dan zou er volgens jou dus gelogen zijn door de minister, in zijn brief naar de Kamer noemt hij immers expliciet dat het in de Citrix Netscaler zit.

Tsja, het kan dat hij liegt maar heel erg waarschijnlijk klinkt het niet?

heuveltje schreef op vrijdag 18 juli 2025 @ 12:01:
[...]


Aanvullend, er word ook nergens vermeld dat OM laks is geweest met de update. Voor zover bekend hebben ze die netscalers vrij direct daarna gepatched. Alleen dat in het onderzoek wat daarna gestart is, er gebleken dat er toch aanwijzigen zijn dat er misbruik van is gemaakt van dat lek. Nog voordat die patch doorgevoerd is (en waarschijnlijk zelfs al voor de patch er was)

Dit klinkt best aannemelijk. Er zijn best wat artikelen die zeggen dat er al misbruik van werd gemaakt voordat de patch er was.
Dit is dan ook best zorgelijk voor nog veel meer bedrijven. Hopelijk kunnen ze ook snel delen hoe ze de aanwijzingen gevonden hebben dat er misbruik van is gemaakt. Dan kunnen alle andere instanties en bedrijven dat ook controleren.
Dat zal vast wel via het ncsc gaan.

Misschien hebben ze hun logfiles doorgespit n.a.v. dit artikel:
https://www.security.nl/p...+%28IoCs%29+CVE-2025-5777

[ Voor 9% gewijzigd door JWPrutser op 18-07-2025 13:31 ]

@Imre Himmelbauer

Citrix heeft op 18 juni al beveiligingsupdates beschikbaar gesteld, maar het is niet duidelijk of en wanneer het OM die heeft doorgevoerd. Hackers konden het lek sinds 23 juni actief misbruiken.

In de communicatie van het OM en de minister zie ik die datum nergens terug, maar de tekst lijkt te suggereren dat de netscalers van het OM sinds 23 juni actief misbruikbaar waren.

Wordt er hier verwezen naar het feit dat exploitatie van Citrix Bleed 2 in het wild sinds 23 juni gedetecteerd is?

Nu zijn er ook al signalen dat exploitatie in het wild sinds voor 18 juni plaatsgevonden heeft. Ik zie nu al best wel wat reacties in de trant van "Hoe konden ze op de 23e nou nog niet gepatcht zijn?" maar dat kunnen we uit de huidige informatie nog helemaal niet concluderen.

[ Voor 20% gewijzigd door ZinloosGeweldig op 18-07-2025 15:44 ]

Het gaat inderdaad om de actieve expolitatie van specifiek het Citrix Bleed 2-lek. Dat was op basis van de berichtgeving van de NRC. Ik zie dat de meningen over wanneer het misbruik van het lek precies is begonnen echter nog wat uiteenlopen. Onderzoeker Kevin Beaumont zag de eerste activiteit al rond 20 juni, Greynoise op 23 juni. Ik zal dat toevoegen.