根据美国监察长办公室 (OIG) 最近披露的一份报告显示,美国人口普查局使用的Citrix设备存在零日漏洞,该漏洞导致服务器在2021年1月11日遭到攻击,黑客利用未修补的 Citrix ADC 零日漏洞入侵服务器。
报告中表明,被攻击的服务器向该局提供远程访问能力,使其工作人员能够访问生产、开发和实验室网络。被攻击后,系统人员表示,这些服务器无法接入2020年十年一次的人口普查网络。
攻击行为未全部成功
虽然攻击者能够破坏该局的服务器,并建立了允许他们远程执行恶意代码的流氓管理员帐户,幸运的是他们无法部署后门来保持对服务器的长期访问。据 OIG 称,此次美国人口普查局未能及时处理关键漏洞,才导致其服务器易受攻击。此外,在服务器被攻陷后,该局也未能及时发现和报告攻击行为,没有维护足够多的系统日志,这些行为都阻碍了事件的调查。
美国监察长办公室 (OIG)称,没有迹象表明2020年十年人口普查系统受到任何损害,也没有任何其他的恶意行为影响 2020 年的十年人口统计数据。此外,美国人口普查局代表公众维护和管理的系统或数据没有受到损害、操纵或丢失。
报告中还表明,在2020年1月13日,黑客对远程访问服务器攻击时,试图与远程服务器进行通信,美国人口普查局的防火墙已经阻止了部分攻击。然而,直到2周多后的1月28日,该局才知道服务器被攻击者入侵。
攻击者利用了一个严重的 Citrix 漏洞
OIG提到该漏洞是在2019年12月17日披露的,因此有可能将其准确定位为CVE-2019-19781,这是一个影响Citrix的应用程序交付控制器(ADC)、网关和SD-WAN WANOP设备的严重漏洞。不幸的是OIG的报告中删除了漏洞和软件供应商的名字,显示被删除的供应商是Citrix,但是人口普查局对攻击的回应没有被修改。
美国人口调查局称,因为 COVID-19和缺少工程师(已经满负荷为联邦政府的客户提供支持),迁移工作未完成。
如果成功利用CVE-2019-19781漏洞,远程攻击者可以在未打补丁的服务器上执行任意代码,无需身份验证即可访问内部网络。
仍在积极利用的 Citrix 漏洞
Citrix于2019年12月17日披露了安全漏洞,并提供了缓解措施,并于2020年1月24 日发布了解决该漏洞的产品更新。
然而,在1月8日检测到Citrix服务器存在漏洞后两天,针对CVE-2019-19781的概念验证漏洞被公开。攻击者趁机开始攻击未打补丁的 Citrix 服务器,安全研究人员观察到攻击者在受感染的服务器上部署恶意软件,包括Sodinokibi和Ragnarok勒索软件负载等。
今年2月,DoppelPaymer勒索软件团伙还利用同样的漏洞,入侵了法国的一家电信公司Bretagne Télécom的网络。自那以后,CVE-2019-19781漏洞被美国联邦调查局(FBI)列入过去两年的头号目标漏洞名单,并被美国国家安全局(NSA)列入黑客滥用的前五名漏洞。