Amerikaanse overheid krijgt drie dagen voor installatie Citrix- en F5-updates

In dit artikel:

Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft federale overheidsinstanties opgedragen binnen drie dagen beveiligingsupdates te installeren voor twee actief misbruikte kwetsbaarheden in producten van F5 en Citrix. Het gaat om CVE-2025-53521 in F5 BIG-IP en CVE-2026-3055 in Citrix NetScaler ADC/Gateway; patches daarvoor zijn beschikbaar sinds respectievelijk 15 oktober vorig jaar en 23 maart dit jaar.

CISA houdt deze problemen bij in de Known Exploited Vulnerabilities (KEV) Catalogus en gebruikt daaruit zijn bevoegdheid om versnelde maatregelen op te leggen. Waar de standaardtermijn aanvankelijk drie weken was en later twee weken, geldt voor deze twee lekken nu de uitzonderlijk korte termijn van drie dagen. De reden is dat aanvallers via deze kwetsbaarheden systemen op afstand kunnen overnemen. Omdat F5’s BIG-IP en Citrix NetScaler veelal verantwoordelijk zijn voor load balancing, applicatiedistributie en remote access (vpn/toegang tot bedrijfsapplicaties en intranetten), kan exploitatie ingrijpende gevolgen voor hele netwerken hebben.

CISA benadrukt dat de opgelegde termijn niet vrijblijvend is maar een bindende operationele richtlijn. Organisaties — zeker buiten de federale overheid — worden sterk aangeraden prioriteit te geven aan het snel toepassen van deze fixes om verdere misbruik en datalekken te voorkomen.