Citrix kwetsbaarheden stapelen zich op: tijd voor actie

Citrix kwetsbaarheden stapelen zich op: tijd voor actie

Citrix is voor veel organisaties onmisbaar. Of het nu gaat om remote werkplekken of veilige toegang tot interne systemen: Netscaler ADC en Gateway zijn vaak de poort naar het hart van je IT-omgeving. Maar juist die poort is de laatste tijd het doelwit van aanvallers.

De afgelopen periode zijn er meerdere ernstige kwetsbaarheden in Netscaler ADC (voorheen Citrix ADC) en Netscaler Gateway (voorheen Citrix Gateway) ontdekt. En dit zijn geen theoretische risico’s. Ze worden op dit moment actief misbruikt. 

In deze blog leggen we uit wat er speelt, welke kwetsbaarheden van toepassing zijn en waarom patchen alléén niet genoeg is om je organisatie écht te beschermen. 

Nieuwe kwetsbaarheden, groter risico 

Het begon met Citrix Bleed (CVE-2023-4966), een kwetsbaarheid waarbij aanvallers sessies kunnen overnemen zonder in te loggen. Daarna volgde Citrix Bleed 2 (CVE-2025-5777), die op dit moment actueel en actief misbruikt wordt. Deze variant maakt het mogelijk om via gemanipuleerde verzoeken toegang te krijgen tot sessie-informatie.

UPDATE – 27-08-2025
Citrix-systemen zijn aangevallen via een nieuwe kritieke kwetsbaarheid die tot remote code execution leidt, waardoor een aanvaller het systeem kan compromitteren, zo laat Citrix zelf weten. Het bedrijf heeft vandaag beveiligingsupdates uitgebracht om het probleem te verhelpen. De aanvallen waarvoor Citrix waarschuwt vonden plaats voordat de patch beschikbaar was. De kwetsbaarheid, aangeduid als CVE-2025-7775, betreft een buffer overflow in Citrix/NetScaler ADC en Citrix/NetScaler Gateway.
 

Daarnaast zijn er andere ernstige kwetsbaarheden zoals CVE-2025-5349 en CVE-2025-6543, die gebruikt kan worden voor Denial-of-Service-aanvallen. 

In korte tijd zijn er dus meerdere kwetsbaarheden verschenen die elk op hun eigen manier serieuze impact kunnen hebben. En omdat veel Citrix-instanties direct via het internet bereikbaar zijn, vormen ze een aantrekkelijk doelwit voor aanvallers die snel willen toeslaan.
 

Patchen is niet genoeg

Veel organisaties hebben netjes gepatcht. Maar wat we tijdens pentesten regelmatig zien, is dat systemen toch kwetsbaar blijven. Patches zijn niet goed toegepast, rollback heeft plaatsgevonden zonder dat iemand het doorhad of een oude configuratie is per ongeluk blijven staan. Zonder controle weet je dus niet of je écht veilig bent.

Volgens de onderzoeker wordt het beveiligingslek actief misbruikt om Citrix-systemen te infecteren met een webshell. Een webshell stelt een aanvaller in staat om blijvende toegang te behouden tot een gecompromitteerd systeem. Zelfs als het kwetsbare systeem later wordt gepatcht, kan de aanvaller deze toegang blijven gebruiken om verdere aanvallen uit te voeren of gevoelige gegevens te exfiltreren.

Beveiligingsexpert Kevin Beaumont meldt op het platform Mastodon dat het hier niet om één enkel lek gaat, maar om meerdere kwetsbaarheden in Citrix-systemen. Citrix zelf heeft inmiddels beveiligingsupdates uitgebracht die in totaal drie lekken aanpakken. Toch benadrukt het bedrijf dat er op dit moment alleen actief misbruik wordt gemaakt van de kwetsbaarheid met identificatiecode CVE-2025-7775

 

Shellback Citrix Quickscan
Vanuit onze zorgplicht als cybersecurityspecialist hebben we de Citrix Quickscan ontwikkeld. Deze scan is bedoeld voor organisaties die zekerheid willen over de beveiliging van hun Citrix-omgeving. We voeren de scan extern uit, zonder inloggegevens of impact op je systemen. Binnen korte tijd krijg je een helder beeld van de aanwezige risico’s en kwetsbaarheden, inclusief praktisch advies waarmee je direct aan de slag kunt.