Het Openbaar Ministerie heeft vrijdagochtend alle internetverbindingen afgesloten na een ernstige securitydreiging. Analyse wees uit dat hackers vermoedelijk misbruik hebben gemaakt van een kwetsbaarheid in Citrix NetScaler, ook wel bekend als Citrix Bleed 2.
Het probleem kwam aan het licht toen het Nationaal Cyber Security Centrum (NCSC) een mogelijk securitylek in de IT-omgeving van het OM signaleerde. Na grondige analyse concludeerde het OM dat er reden is gegeven “om aan te nemen dat er ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid”.
De ernst van de situatie leidde donderdag tot een crisisoverleg. Als directe maatregel werden vrijdagochtend alle internetverbindingen afgesloten. Werken op afstand is niet langer mogelijk. Medewerkers kunnen op kantoren nog wel kunnen werken, maar dan zonder internettoegang.
De gevolgen voor de dagelijkse werkzaamheden zijn aanzienlijk. Officieren van justitie met geplande rechtszittingen op vrijdag werden vooraf geadviseerd hun benodigde documenten te downloaden, aangezien toegang tot digitale dossiers tijdens zittingen niet gegarandeerd kon worden.
Kwetsbaarheid in Citrix NetScaler
Het gaat in dit geval dus Citrix Bleed 2 waar het OM mee te maken heeft. Deze fout stelt aanvallers in staat gebruikerssessies over te nemen door sessietokens uit het geheugen van een kwetsbaar apparaat te halen. Citrix Bleed 2 vertoont sterke gelijkenis met een oudere fout uit 2023, die criminelen inzetten bij aanvallen op overheidsinstellingen en werd misbruikt door ransomwaregroepen.
Citrix NetScaler wordt gebruikt voor application delivery en security. Applicaties worden hiermee beschikbaar gesteld. In het geval van het OM zou het bijvoorbeeld gebruikt kunnen worden voor video’s op de website, die nodig zijn voor het beoordelen van juridische zaken.
Eerdere waarschuwingen en precedenten
Het Nationaal Cyber Security Centrum waarschuwde eerder voor deze kwetsbaarheid, zowel vorige maand als begin juli. Het securityorgaan gaf destijds aan dat “kwaadwillenden de kwetsbaarheid kunnen misbruiken voor het verkrijgen van ongeautoriseerde toegang tot bepaalde onderdelen van het systeem”.
Eind maart ging het OM ook al offline wegens een storing, waarbij initieel een externe indringing niet kon worden uitgesloten. Later bleek die verstoring echter een interne oorzaak te hebben.
De huidige situatie lijkt ernstiger, aangezien er nu daadwerkelijke aanwijzingen zijn dat een securitylek is uitgebuit. Het OM heeft nog niet bekendgemaakt wanneer de systemen weer volledig operationeel zullen zijn.