De onzichtbare dreiging: hoe hackers via SharePoint en Citrix NetScaler binnenbreken

De digitale wereld wordt steeds complexer, en cybercriminelen worden steeds vaardiger in het misbruiken van kwetsbaarheden in veelgebruikte systemen. Onlangs werden twee van de grootste softwareplatforms, Microsoft SharePoint en Citrix NetScaler, doelwit van gerichte aanvallen door geavanceerde cybercriminelen. Deze kwetsbaarheden, die wereldwijd bedrijven en overheden bedreigen, hebben geleid tot aanzienlijke schade en zijn een waarschuwing voor de kwetsbaarheid van onze digitale infrastructuur. In dit artikel bespreken we de recente aanvallen op deze systemen, de impact op getroffen organisaties en de stappen die bedrijven kunnen nemen om zich beter te beschermen tegen dergelijke dreigingen.

Microsoft SharePoint, Chinese hackers en de ToolShell aanval

Microsoft SharePoint is een veelgebruikte oplossing voor documentbeheer en samenwerking, vooral in grote organisaties en overheidsinstellingen. Het platform wordt wereldwijd ingezet om interne documenten te delen en samen te werken aan projecten. Helaas werd het recentelijk het doelwit van een geavanceerde aanval door hackers met banden met de Chinese overheid. Deze aanval, die de naam "ToolShell" kreeg, maakte gebruik van twee zeroday kwetsbaarheden in SharePoint, aangeduid als CVE-2025-49706 en CVE-2025-49704.

Een zeroday kwetsbaarheid is een beveiligingslek dat nog onbekend is bij de softwareleverancier, waardoor er geen patches beschikbaar zijn om het probleem te verhelpen op het moment van misbruik. In dit geval maakten de aanvallers gebruik van deze kwetsbaarheden om onterecht toegang te krijgen tot de systemen van minstens 54 organisaties wereldwijd, waaronder grote multinationals en overheidsinstanties. De aanval gaf de hackers toegang tot interne netwerken, waarmee zij vertrouwelijke gegevens konden stelen, netwerken konden saboteren en andere aanvallen konden voorbereiden.

Het gevaar van deze kwetsbaarheid wordt versterkt doordat Proof of Concept (PoC) exploits openbaar zijn gemaakt. Dit betekent dat hackers nu in staat zijn om de kwetsbaarheid actief te misbruiken, zelfs nadat Microsoft een patch heeft uitgebracht om het probleem te verhelpen. Organisaties die SharePoint lokaal draaien, worden met klem aangeraden om snel de benodigde patches toe te passen om verdere schade te voorkomen. Bovendien is het belangrijk om naast de updates ook andere beveiligingsmaatregelen te nemen, zoals het implementeren van multifactor authenticatie en het controleren van toegangspogingen tot gevoelige systemen.

Citrix NetScaler, inbraak bij het Openbaar Ministerie en de bredere impact

Een ander belangrijk voorbeeld van hoe kwetsbaarheden in populaire systemen kunnen worden misbruikt, komt uit Nederland. Het Openbaar Ministerie (OM) werd onlangs het slachtoffer van een inbraak die gebruik maakte van een kwetsbaarheid in de Citrix NetScaler servers. Citrix NetScaler is een netwerkcontroller die wordt gebruikt door organisaties om applicaties en netwerken te verbinden, en is van cruciaal belang voor de digitale infrastructuur van veel bedrijven en overheden.

Het OM ontdekte de inbraak na een scan van het Nationaal Cyber Security Centrum (NCSC), maar helaas was de aanval al eerder plaatsgevonden, voordat de patch werd uitgerold. Na de ontdekking van de kwetsbaarheid besloot het OM om alle systemen tijdelijk los te koppelen van het internet om verdere schade te voorkomen. Ondanks deze voorzorgsmaatregelen bleek dat de systemen al waren gecompromitteerd. Het herstelproces voor het OM zal naar verwachting weken duren, en het incident heeft grote gevolgen voor de organisatie, zowel op technisch als op administratief gebied.

Het Openbaar Ministerie heeft inmiddels aangifte gedaan bij de politie en melding gemaakt bij de Autoriteit Persoonsgegevens. Dit incident benadrukt de risico’s van vertraagde beveiligingsupdates en de enorme impact die een inbraak kan hebben, vooral wanneer interne, vertrouwelijke informatie wordt blootgesteld. Het is van groot belang dat organisaties, zowel in de publieke als de private sector, hun systemen regelmatig controleren en beveiligen om aanvallen van deze aard te voorkomen. Deze aanval onderstreept ook de noodzaak voor overheidsinstellingen om snel en efficiënt te reageren op cyberdreigingen.

Malware op Citrix NetScaler servers en de dreiging van webshells

In een andere ontwikkeling heeft het NCSC malware ontdekt op Citrix NetScaler servers van verschillende organisaties. De malware bestaat uit webshells, een type kwaadaardige software die aanvallers in staat stelt om op afstand toegang te behouden tot systemen en verder misbruik te maken van de kwetsbaarheden in de NetScaler software. Webshells kunnen moeilijk te detecteren zijn, waardoor de aanvallers ongehinderd kunnen opereren binnen het netwerk van het slachtoffer.

Het misbruik van Citrix NetScaler servers werd voor het eerst opgemerkt op 16 juli 2025, met tekenen van aanvallen die teruggaan tot begin juni. Het NCSC heeft aangegeven dat de aanval mogelijk al enkele maanden onopgemerkt is gebleven, wat betekent dat de aanvallers gedurende lange tijd toegang hadden tot de getroffen netwerken. Dit benadrukt de gevaren van aanvallen die subtiel en langdurig kunnen zijn, wat het moeilijk maakt om snel en effectief te reageren.

De Citrix NetScaler servers zijn aantrekkelijke doelwitten voor geavanceerde cybercriminelen, omdat ze directe toegang bieden tot netwerken via het internet. Dit maakt ze kwetsbaar voor aanvallen van buitenaf, en geavanceerde aanvallers zijn vaak bereid veel middelen te investeren om kwetsbaarheden te ontdekken en misbruiken. Het NCSC heeft organisaties aangespoord om actief onderzoek te doen naar hun eigen systemen, aangezien niet alle vormen van misbruik zichtbaar zijn voor externe instanties. Dit vraagt om een proactieve benadering van cybersecurity, waarbij organisaties zelf verantwoordelijk zijn voor het monitoren en beveiligen van hun systemen.

Aanbevolen maatregelen en de toekomst van cyberbeveiliging

De recente aanvallen op zowel Microsoft SharePoint als Citrix NetScaler benadrukken de noodzaak voor organisaties om snel en effectief te reageren op kwetsbaarheden in hun systemen. Er zijn verschillende belangrijke maatregelen die bedrijven en overheidsinstellingen kunnen nemen om zich beter te beschermen tegen deze dreigingen.

De eerste stap is het installeren van de beschikbare beveiligingsupdates. Zowel Microsoft als Citrix hebben patches uitgebracht om de kwetsbaarheden in SharePoint en NetScaler te verhelpen. Het is essentieel dat deze updates onmiddellijk worden geïnstalleerd, omdat het niet toepassen van de patches de kans op misbruik aanzienlijk vergroot. Naast het installeren van de updates moeten organisaties hun systemen ook regelmatig controleren op tekenen van misbruik, zoals verdachte bestendbestanden en ongeautoriseerde toegangspogingen.

Verder kunnen organisaties hun beveiliging verbeteren door meerlaagse beveiligingsmaatregelen te implementeren, zoals multifactor authenticatie (MFA), netwerksegmentatie en het monitoren van ongebruikelijke netwerkactiviteit. Het verhogen van de bewustwording binnen de organisatie en het trainen van medewerkers in cybersecuritybest practices kan ook bijdragen aan het voorkomen van aanvallen.

Daarnaast is samenwerking essentieel. Organisaties moeten samenwerken met cybersecurity instanties zoals het NCSC en andere bedrijven om dreigingen te identificeren en gezamenlijke tegenmaatregelen te nemen. Het delen van informatie over kwetsbaarheden en misbruik kan helpen bij het verbeteren van de digitale veiligheid op grotere schaal.

Deze recente incidenten benadrukken de voortdurende dreiging van cybercriminaliteit en de noodzaak voor organisaties om hun cybersecuritystrategie voortdurend te evalueren en bij te werken. Het is van cruciaal belang dat bedrijven niet alleen reageren op incidenten, maar ook proactief maatregelen nemen om zichzelf tegen toekomstige dreigingen te beschermen.

Wat is?

• Zeroday kwetsbaarheid: Dit is een beveiligingslek in software dat nog niet bekend is bij de maker van de software, waardoor er nog geen oplossing (patch) beschikbaar is. Hackers kunnen dit lek misbruiken voordat het wordt verholpen.

• Proof of Concept (PoC) exploit: Dit is een demonstratiecode die laat zien hoe een kwetsbaarheid in een systeem kan worden misbruikt. Het is vaak bedoeld om anderen te tonen hoe ze de kwetsbaarheid kunnen gebruiken. Zodra PoC exploits openbaar worden, neemt het risico op misbruik toe, omdat anderen het kunnen gebruiken.

• Webshell: Een type kwaadaardige software die hackers in staat stelt om op afstand toegang te krijgen tot een server of netwerk. Het wordt vaak gebruikt om ongezien toegang te houden en verder misbruik te maken van een kwetsbaar systeem.

• Indicators of Compromise (IoC's): Dit zijn aanwijzingen of sporen die wijzen op een mogelijke cyberaanval of misbruik. Dit kunnen specifieke bestendbestanden, netwerkactiviteit of systeemconfiguraties zijn die abnormaal lijken en op een aanval duiden.

• Multifactor authenticatie (MFA): Een beveiligingsmaatregel waarbij een gebruiker meer dan alleen een wachtwoord nodig heeft om toegang te krijgen tot een systeem. Dit kan bijvoorbeeld een code zijn die naar je telefoon wordt gestuurd, naast je wachtwoord.

• Netwerksegmentatie: Het proces waarbij een netwerk in kleinere, gescheiden delen wordt opgedeeld om de toegang te beperken. Dit maakt het moeilijker voor hackers om zich vrij door het netwerk te bewegen als ze eenmaal toegang hebben gekregen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.