Print 🖨 PDF 📄 eBook 📱

Citrix

Remote werken (in zorg) weer probleem door Citrix kwetsbaarheden

Hard – en software van het bedrijf Citrix maakt het mogelijk digitaal op afstand te werken. Dat maakt computersystemen, zeker in de zorg, helaas kwetsbaar voor digitale aanvallen. Dat komt omdat er bij herhaling ernstige kwetsbaarheden voorkomen waar hackers razendsnel gebruik van maken om die kwetsbaarheden uit te buiten. Zeer recent, op 23 maart 2026, stuurde het bedrijf Citrix een bericht naar haar gebruikers, genaamd “NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2026-3055 and CVE-2026-4368”. De twee CVE-codes betreffen de kwetsbaarheden in NetScaler ADC and NetScaler Gateway van Citrix. Uit onderzoek van het internationaal actieve cybersecurity-bedrijf watchTowr blijkt dat al op 27 maart kwaadwilligen de lekken proberen uit te buiten. Op 23 maart 2026 gaf Citrix aan haar klanten aan dat er een urgente update beschikbaar was voor de kwetsbaarheden. De ervaring uit het verleden leert echter dat niet elke organisatie die Citrix-spullen gebruikt alert reageert.

Waar gaat het om?

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De voornaamste functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. De impact van een gecompromitteerd NetScaler-systeem kan dan ook groot zijn. Als een gebruiker van genoemde Citrix-zaken niet alert reageert door meteen na de release van een veilige versie deze software te installeren, dan heeft men een tweede probleem. Immers, in de periode tussen het bekend worden van de kwetsbaarheden en het installeren van een veilige software-versie kan het eigen (zorg)ICT systeem al lang gecompromitteerd zijn. Men moet dus intensief op zoek gaan naar sporen van compromitteren van de systemen.

Wijdverbreid gebruik

De hard- en software van Citrix kent een breed gebruik in Nederland. Het gaat om grote bedrijven, (semi-)overheidsinstanties, zorginstellingen, zorgverzekeraars maar ook middelgrote bedrijven die mensen m.b.v. Citrix faciliteren om vanuit huis of elders te werken. Niet elk bedrijf heeft het versiebeheer van de software heel alert geïmplementeerd en laat , ook cruciale, updates nog wel eens even liggen.

Niet de eerste keer

Het is zeker niet de eerste keer dat er kwetsbaarheden in Citrix-ADC en Netscaler-software blijken te bestaan. In januari 2020 publiceerde ik op verzoek van een cybersecurity-expert met spoed een artikel op deze website. Zulks omdat duidelijk was dat veel instanties/bedrijven geen urgente update hadden uitgevoerd na het bekend worden van een kwetsbaarheid in december 2019. In juli 2020: Onderzoekers publiceren een Proof-of-Concept voor CVE-2020-8193, wat leidt tot grootschalige kwetsbaarheid van Nederlandse Citrix-servers. In 2023 is er de CVE-2023-4966-kwetsbaarheid voor Citrix NetScaler ADC en NetScaler Gateway die kwaadwilligen op dat moment massaal misbruikten. Inmiddels staat dit cybergevaar bekend als ‘Citrix Bleed 1’.

Vervolg

In  juni/juli 2025: Ontdekking van CVE-2025-6543 (ernstscore 9.2). Het Openbaar Ministerie (OM) en diverse overheidsorganisaties moeten systemen uit voorzorg uitschakelen. Toch rapporteert  in augustus 2025 het Nationaal CyberSecurity Center(NCSC) dat kritieke Nederlandse organisaties succesvol zijn aangevallen via CVE-2025-6543, vaak misbruikt in combinatie met eerdere gaten. Die kwetsbaarheid noemde men ‘Bleed 2’. De succesvolle aanvallen wijzen op een trage installatie van een snel beschikbare veilige update van de citrix-software.

Niets bij Z-Cert en NCSC

Voor de zorg houdt Z-CERt cyberporblemen in de gaten Z-CERT is een afkorting van Computer Emergency Response Team, ook wel het computercrisisteam geheten en is specifiek voor de Nederlandse zorgsector. Op de website van Z-Cert vind ik op 30 maart in de middag geen actueel nieuws of een waarschuwing. Ook op de website van het NCSC vind ik op hetzelfde tijdstip geen enkel bericht over Citrix. De Britse NCSC deed het al wel op 25 maart 2026. Het is in mijn ogen een ernstige omissie en wijst niet op heel alerte organisaties.

Call for action 

Wat dit artikel ons leert is:

Systeembeheerders installeer als de bliksem bij een geconstateerde kwetsbaarheid de Citrix update zodra die beschikbaar is.

W.J. Jongejan, 31 maart 2026

Afbeelding van Peter Olexa via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.