美國人口普查局(US Census Bureau)的伺服器於2020年1月11日被駭客入侵，此前駭客利用了Citrix ADC零日漏洞(zero-day)，但該漏洞未打補丁。

“這些伺服器的目的是向該局提供遠端訪問能力，使其企業工作人員能夠訪問生產、開發和實驗室網路。據系統人員稱，這些伺服器無法接入2020年十年一次的人口普查網路。”

“在對遠端訪問伺服器的攻擊期間，該局的防火牆早在2020年1月13日就阻止了攻擊者試圖從遠端訪問伺服器與其指揮和控制基礎設施進行通訊。

“然而，直到2周多後的2020年1月28日，該局才知道伺服器被入侵。”

雖然攻擊者能夠破壞該局的伺服器並設定允許他們遠端執行惡意程式碼的流氓管理員帳戶，但他們無法部署後門來保持對伺服器的訪問並實現他們的目標。

據OIG稱，該局未能緩解攻擊中利用的關鍵漏洞，導致其伺服器易受攻擊。

在他們的伺服器被入侵後，該局也未能及時發現和報告攻擊。它還沒有維護足夠的系統日誌，阻礙了事件調查。

“由於人口普查局和監察辦都在此事件後得出結論，沒有跡象表明任何2020年十年人口普查系統受到損害，也沒有任何惡意行為影響 2020 年十年人口統計的證據，”在回覆監察辦對事件的審查時回應道。

“此外，沒有任何由人口普查局代表公眾維護和管理的系統或資料因為調查小組報告中強調的事件而遭到洩露、操縱或丟失。”

美國人口普查局的一位發言人告訴記者，在聯絡他們徵求意見時，可以看到該機構對 OIG 報告的回應，那裡找到了需要的資訊，以確定駭客用來入侵該局伺服器的攻擊向量。

雖然OIG的報告被修改了，刪除了所有提到被利用的漏洞和軟體供應商的名字，但人口普查局對OIG關於攻擊的詢問的回應沒有被修改，顯示被修改的供應商是Citrix。

“由於該局無法控制的情況——包括依賴Citrix工程師(他們已經在全力支援聯邦政府的客戶，這些客戶從2020年1月的襲擊事件中受到了更大的影響)來完成遷移，以及COVID-19大流行—遷移被推遲了，”該局說。

再加上OIG提到該漏洞於2019年12月17日披露，可以準確地將其定位為CVE-2019-19781，這是一個影響Citrix 的應用交付控制器 (ADC)、閘道器和SD-WAN WANOP裝置的嚴重漏洞。

成功利用CVE-2019-19781漏洞，遠端攻擊者可以在未打補丁的伺服器上執行任意程式碼，無需身份驗證即可訪問組織內部網路。

Citrix於2019年12月17日披露了安全漏洞並提供了緩解措施，並於2020年1月24日釋出了針對所有受影響產品的安全更新以解決該漏洞。

然而，在1月8日檢測到Citrix伺服器存在漏洞後兩天，針對CVE-2019-19781的概念驗證漏洞被公開。

威脅行為者抓住機會，開始攻擊未打補丁的Citrix伺服器，安全研究人員觀察到他們在被攻擊的伺服器上部署惡意軟體，包括Sodinokibi和Ragnarok勒索軟體有效負載。

今年2月，DoppelPaymer勒索軟體團伙還利用同樣的漏洞，入侵了法國私有云託管和企業電信公司Bretagne Télécom的網路。

從那時起，CVE-2019-19781 已被FBI列入其過去兩年的首要目標漏洞列表，並被NSA 列入俄羅斯贊助的國家駭客積極濫用的前五名漏洞。

提及CVE-2019-19781的政府建議包括：緩解CVE-2019-19781、APT29針對COVID-19 疫苗開發以及檢測和預防Web Shell惡意軟體。

網路的安全性不取決於使用了多少安全防護，而是系統中的脆弱環節。這些易於受到網路攻擊的脆弱環節及安全漏洞為駭客成功入侵提供了先決條件。超過六成的安全漏洞與程式碼有關，因此 加強程式碼安全在減少軟體安全漏洞上起到積極的作用。

參讀連結：

駭客繞過防火牆利用Citrix漏洞入侵美國人口普查局

相關文章