💥 Citrix-incident bij het OM: De prijs van traag schakelen

On By konstapelIn Uncategorized

Het onderzoek naar de achtergrond van Hans Moonen, de directeur van Informatievoorziening OM (IVOM), toont een enorme verzameling commerciële managers uit de IT-branche die vermoedelijk door hun netwerk en vooral zelfverkoopcapaciteit de overheid zijn binnengedrongen en een spoor van destructie achterlaten omdat ze geen enkel gevoel hebben voor de techniek.

Op 17 juni 2025 werd het kritieke lek CVE‑2025‑5777 in Citrix NetScaler openbaar gemaakt. Deze kwetsbaarheid maakte het mogelijk om via geheugensporen sessietokens buit te maken — een directe toegangspoort tot interne systemen zonder authenticatie. Drie weken later bleek het Openbaar Ministerie (OM) slachtoffer van precies dit lek. Inmiddels is bevestigd: het lek is actief misbruikt. En de gevolgen zijn fundamenteel.

📉 Vertraging in detectie, niet in aanval

De aanval op het OM verliep volgens een bekend script:

  • Citrix publiceert een patch en waarschuwt op 17 juni.
  • De aanval vindt in de weken daarna plaats.
  • Pas op 16 juli informeert het NCSC het OM via een scan dat het lek bij hen nog actief is.
  • Eén dag later, op 17 juli, trekt het OM de stekker uit zijn volledige internetconnectie.
  • Kort daarna bevestigt de directeur informatievoorziening: “er is daadwerkelijk misbruik gemaakt”.
  • Duizenden servers moeten opnieuw worden opgeschoond en gescand. Het proces duurt weken.

Dat een overheidsinstelling als het OM niet direct na CVE-publicatie is overgegaan tot patching, is op zichzelf al zorgwekkend. Dat het NCSC pas een maand later alarmeert, is systemisch falen. De aanval laat daarmee zien dat het detectie-ecosysteem structureel te traag is ingericht voor het huidige dreigingslandschap.

🔍 De kwetsbaarheid zelf

Het ging om een lek in NetScaler ADC en Gateway (voorheen Citrix ADC en Citrix Gateway) waarbij geheugensporen konden worden uitgelezen om actieve sessietokens te stelen. Hierdoor konden aanvallers legitieme sessies kapen zonder ooit in te loggen. De technische ernst wordt onderstreept door het feit dat het CISA (de Amerikaanse cyberwaakhond) het lek onmiddellijk toevoegde aan de lijst van “known exploited vulnerabilities”.

De lekken staan nu bekend onder de naam “Citrix Bleed 2” – een verwijzing naar het beruchte Heartbleed-lek uit 2014. De aanvalstechniek is vrijwel identiek: toegang tot geheugen + extractie van sessiegegevens = directe escalatie.

🧯 Schadebeperking zonder transparantie

Het OM stelt dat er vooralsnog geen aanwijzingen zijn dat data zijn buitgemaakt of aangepast. Tegelijkertijd is erkend dat aanvallers daadwerkelijk toegang hadden. Daarmee is het scenario van exfiltratie of manipulatie niet uit te sluiten, slechts (nog) niet aantoonbaar. Ook is onduidelijk of loggegevens uit de betrokken systemen zelf betrouwbaar zijn na compromittering.

Een bijkomend probleem: het OM beheert duizenden servers. Volgens berichten neemt een volledige scan per systeem ongeveer vier uur in beslag. Zelfs bij geautomatiseerde afhandeling betekent dat wekenlange uitval en verhoogd risico op fouten, doordat systemen vaak afhankelijkheden kennen die pas bij terugschakelen zichtbaar worden.

⚖️ Juridische implicaties

Het OM heeft aangifte gedaan en de Autoriteit Persoonsgegevens is op de hoogte gebracht. Maar daarmee is de verantwoordelijkheid niet afgewenteld. Er is sprake van structureel risicobeheer dat tekort is geschoten, ondanks waarschuwingen en bekende kwetsbaarheden. Het roept vragen op over:

  • De patchcyclus bij kritieke publieke diensten
  • Het alarmeringsproces bij NCSC
  • De voorbereiding op zero-days in mission-critical systemen

In dit incident vallen techniek, beleid en politiek zichtbaar samen — en juist dat maakt het gevaarlijk. Het OM is niet zomaar een organisatie: het is de hoeder van rechtsorde, bewijsvoering en vertrouwelijkheid.

📡 Systeemfout, geen incident

Wat het incident laat zien, is dat dit geen uitzonderlijke aanval is, maar een symptoom van een gebrekkig systeem:

  • Security-by-design ontbreekt: Citrix NetScaler is al jaren kwetsbaar gebleken. Toch blijven cruciale instanties afhankelijk van deze technologie zonder structurele mitigatie.
  • Security operations zijn te traag: Detectie, alarmering en patching verlopen in weken, terwijl aanvallen in uren worden ingezet.
  • Publieke communicatie is passief: De transparantie na het lek is beperkt, en cruciale details over schaal en impact blijven vaag.

Zolang publieke instellingen blijven functioneren binnen een IT-model gebaseerd op lineaire governance, reactieve besluitvorming en silo’s tussen technologie en bestuur, zal dit patroon zich blijven herhalen.

📘 Wat moet er anders?

Een structurele reset van security governance is nodig. In plaats van “incident response” moet de kernvraag zijn: hoe zorgen we dat de aanval nooit impact krijgt? Dat vraagt:

  1. Real-time infrastructuurscanning (niet maandelijks, maar dagelijks).
  2. Geautomatiseerde patch-propagatie via infrastructuur-as-code.
  3. Gedistribueerde zero-trust-architectuur, met tijdgebaseerde tokenverval, minimale rechten en expliciete validatie.
  4. Publieke meldplicht van CVE-reacties bij overheidsdiensten.
  5. Volledig testbare compliance en monitoring op CVE-responsiviteit.

Epiloog: het stille lek

De echte les van dit lek zit niet in de aanval zelf, maar in het stille falen ervoor. Het falen om tijdig te reageren. Het falen om te anticiperen. En het falen om verantwoordelijkheid te structureren als systeemverplichting, niet als incident-opruiming.

De vraag is niet of we het beter hadden kunnen doen.
De vraag is waarom we dat niet allang hebben gedaan.