正如美國監(jiān)察長辦公室 (OIG) 在最近的一份報告中披露的那樣,,美國人口普查局的服務器于2020年1月11日遭到黑客入侵,,黑客利用了Citrix ADC零日漏洞。
“這些服務器的目的是為該局提供遠程訪問功能,,供其企業(yè)員工訪問生產(chǎn),、開發(fā)和實驗室網(wǎng)絡,。據(jù)系統(tǒng)人員稱,這些服務器沒有提供對2020年人口普查網(wǎng)絡的訪問,,”監(jiān)察辦說,。
“在對遠程訪問服務器的攻擊期間,該局的防火墻早在2020年1月13日就阻止了攻擊者從遠程訪問服務器到其指揮和控制基礎設施進行通信的企圖,?!钡牵钡?020年1月28日,,也就是2個多星期后,,無線電通信局才意識到服務器已遭到入侵?!?/p>
監(jiān)察長辦公室在本周的一份報告中表示,,黑客入侵的目的是訪問該機構一直用來為其遠程工作人員提供對其內部網(wǎng)絡的訪問權限的服務器 。
該漏洞利用部分成功,,因為攻擊者修改了系統(tǒng)上的用戶帳戶數(shù)據(jù)以準備遠程執(zhí)行代碼,。然而,攻擊者試圖通過在受影響的服務器中創(chuàng)建后門來維持對系統(tǒng)的訪問,,但沒有成功,。監(jiān)察長辦公室,OIG-21-034-A報告
黑客入侵了該機構的Citrix服務器
雖然OIG的報告被編輯以刪除所有提及被利用的漏洞和軟件供應商名稱的內容,,但人口普查局對OIG圍繞攻擊的詢問的回應沒有受到影響,,顯示被編輯的供應商是Citrix思杰。
”由于該局無法控制的情況——包括對Citrix工程師的依賴(他們已經(jīng)在支持聯(lián)邦政府的客戶,,他們意識到2020年1月的攻擊造成更大影響)來完成遷移,,以及 COVID-19大流行——遷移被推遲了,“該局說,。
再加上OIG提到該漏洞于2019年12月17日披露,,可以準確地將其定位為CVE-2019-19781,這是一個影響Citrix的應用交付控制器 (ADC),、網(wǎng)關和SD-WAN WANOP的關鍵漏洞,。
該漏洞被跟蹤為CVE-2019-19781,允許攻擊者繞過Citrix ADC設備上的身份驗證并執(zhí)行惡意代碼訪問組織的內部網(wǎng)絡,。
Citrix于2019年12月17日發(fā)布了有關此漏洞的安全公告 ,,并發(fā)布了緩解措施,,以便其客戶可以在公司仍在開發(fā)軟件補丁時阻止攻擊。
雖然修復程序于2020年1月下旬發(fā)布,,但針對Citrix ADC設備的攻擊早在2020年1月11日就開始了,,在當時1天前,一群安全研究人員在GitHub上發(fā)布了概念驗證漏洞,。
根據(jù)OIG的報告,,美國人口普查局的服務器似乎是最先受到攻擊的服務器之一,該機構的Citrix系統(tǒng)在主動利用的第一天就遭到黑客攻擊,。
攻擊時間線:
2019年12月17日——Citrix披露了CVE-2019-19781,,這是Citrix Application Delivery Controller(ADC)(以前稱為NetScaler ADC)和Citrix Gateway(以前稱為NetScaler Gateway)中的一個漏洞。補丁不可用,,但供應商發(fā)布了緩解措施以防止攻擊,。
2020 年1月10日——概念驗證漏洞利用代碼在GitHub上發(fā)布。
2020 年1月11日——美國人口普查局Citrix服務器被使用公開漏洞遭到破壞,。
2020 年1月13日——美國人口普查局防火墻阻止攻擊者與其遠程命令和控制 (C&C) 服務器進行通信,。
2020 年1月15日——該局從一個信息共享合作伙伴那里收到一份惡意 IP 地址列表,這些地址被用來進行漏洞利用,。
2020 年1月16日——該局的安全團隊收到CISA通知,,稱其服務器被黑客入侵,并要求該機構進行調查,。
2020 年1月28日——該局運行腳本并確認其Citrix系統(tǒng)遭到黑客攻擊,。
2020 年1月31日——該局收到第二份CISA請求,以調查被黑服務器,。
2020 年2月5日——該局確認有更多服務器遭到黑客攻擊,。
盡管人口普查局的防火墻檢測到了入侵并阻止了攻擊者擴大入侵,但OIG表示,,該機構在其他幾個方面都失敗了,例如盡管供應商發(fā)出警告,,但在數(shù)周內緩解了漏洞,,在Citrix服務器上運行了報廢軟件,并需要數(shù)周時間調查并向CISA官員確認違規(guī)行為,。
此外,,OIG表示,人口普查局也沒有更改被黑客入侵的Citrix服務器的默認日志記錄設置,,這意味著在進行深入調查時,,包含關鍵證據(jù)的日志已被輪換并從受感染系統(tǒng)中刪除。在其他情況下,,設備要么不保留日志,,要么試圖將日志發(fā)送到一年多前停用的SIEM(安全信息和事件管理)平臺,。
DoppelPaymer勒索團伙還利用同樣的錯誤在2月違入侵了布列塔尼電信,一家私人持有的法國云托管和企業(yè)電信公司的網(wǎng)絡,。
根據(jù)美國,、英國和澳大利亞網(wǎng)絡安全機構的聯(lián)合報告,CVE-2019-19781已被FBI列入其過去兩年的首要目標漏洞列表,,并被NSA列入俄羅斯贊助的國家黑客積極濫用的前五名漏洞,。
今天,勒索軟件團伙和APT組織經(jīng)常(ab)使用相同的漏洞,。2020年3月,,同樣的漏洞也被歸咎于澳大利亞國防軍招募網(wǎng)絡安全漏洞的根本原因。