Organisaties die hun Citrix-systemen pas na 9 januari hebben aangepast, of die dat helemaal niet hebben gedaan, kunnen ervan uitgaan dat hun systemen zijn aangevallen.
Het heeft dan geen zin om de nu vrijgegeven reparatie (patch) door te voeren. Die gedupeerden moeten de verbinding van hun systemen met internet verbreken, de systemen laten onderzoeken en goed in de gaten houden of de aanvallers ook op andere plekken opduiken, adviseert het Nationaal Cyber Security Centrum (NCSC).
Op 9 januari waarschuwde het NCSC dat aanvallers aan het zoeken waren naar kwetsbare Citrix-servers. Een dag later hadden de aanvallers daadwerkelijk een wapen ontwikkeld, een zogenoemd exploit, om het gat in de beveiliging van Citrix te misbruiken. Door het gat konden ze bij gevoelige gegevens komen. Onder meer het Medisch Centrum Leeuwarden en de gemeente Zutphen werden aangevallen.
Citrix had in december een groot gat in de beveiliging van twee diensten ontdekt. Bedrijven, overheden, ziekenhuizen en onderwijsinstellingen gebruiken die zodat hun medewerkers op afstand kunnen werken. Citrix had nog geen reparatie (patch) om het gat te dichten, maar wel een tijdelijk lapmiddel. Wie op tijd die 'mitigerende maatregelen' heeft doorgevoerd, moet nu zo snel mogelijk patchen, zegt het NCSC. Ook moeten zij hun systemen goed in de gaten blijven houden.
