美国人口普查局被黑
2021-08-21
来源:红数位
正如美国监察长办公室 (OIG) 在最近的一份报告中披露的那样,美国人口普查局的服务器于2020年1月11日遭到黑客入侵,黑客利用了Citrix ADC零日漏洞。
“这些服务器的目的是为该局提供远程访问功能,供其企业员工访问生产、开发和实验室网络。据系统人员称,这些服务器没有提供对2020年人口普查网络的访问,”监察办说。
“在对远程访问服务器的攻击期间,该局的防火墙早在2020年1月13日就阻止了攻击者从远程访问服务器到其指挥和控制基础设施进行通信的企图。”但是,直到2020年1月28日,也就是2个多星期后,无线电通信局才意识到服务器已遭到入侵。“
监察长办公室在本周的一份报告中表示,黑客入侵的目的是访问该机构一直用来为其远程工作人员提供对其内部网络的访问权限的服务器 。
该漏洞利用部分成功,因为攻击者修改了系统上的用户帐户数据以准备远程执行代码。然而,攻击者试图通过在受影响的服务器中创建后门来维持对系统的访问,但没有成功。监察长办公室,OIG-21-034-A报告
黑客入侵了该机构的Citrix服务器
虽然OIG的报告被编辑以删除所有提及被利用的漏洞和软件供应商名称的内容,但人口普查局对OIG围绕攻击的询问的回应没有受到影响,显示被编辑的供应商是Citrix思杰。
”由于该局无法控制的情况——包括对Citrix工程师的依赖(他们已经在支持联邦政府的客户,他们意识到2020年1月的攻击造成更大影响)来完成迁移,以及 COVID-19大流行——迁移被推迟了,“该局说。
再加上OIG提到该漏洞于2019年12月17日披露,可以准确地将其定位为CVE-2019-19781,这是一个影响Citrix的应用交付控制器 (ADC)、网关和SD-WAN WANOP的关键漏洞。
该漏洞被跟踪为CVE-2019-19781,允许攻击者绕过Citrix ADC设备上的身份验证并执行恶意代码访问组织的内部网络。
Citrix于2019年12月17日发布了有关此漏洞的安全公告 ,并发布了缓解措施,以便其客户可以在公司仍在开发软件补丁时阻止攻击。
虽然修复程序于2020年1月下旬发布,但针对Citrix ADC设备的攻击早在2020年1月11日就开始了,在当时1天前,一群安全研究人员在GitHub上发布了概念验证漏洞。
根据OIG的报告,美国人口普查局的服务器似乎是最先受到攻击的服务器之一,该机构的Citrix系统在主动利用的第一天就遭到黑客攻击。
攻击时间线:
2019年12月17日——Citrix披露了CVE-2019-19781,这是Citrix Application Delivery Controller(ADC)(以前称为NetScaler ADC)和Citrix Gateway(以前称为NetScaler Gateway)中的一个漏洞。补丁不可用,但供应商发布了缓解措施以防止攻击。
2020 年1月10日——概念验证漏洞利用代码在GitHub上发布。
2020 年1月11日——美国人口普查局Citrix服务器被使用公开漏洞遭到破坏。
2020 年1月13日——美国人口普查局防火墙阻止攻击者与其远程命令和控制 (C&C) 服务器进行通信。
2020 年1月15日——该局从一个信息共享合作伙伴那里收到一份恶意 IP 地址列表,这些地址被用来进行漏洞利用。
2020 年1月16日——该局的安全团队收到CISA通知,称其服务器被黑客入侵,并要求该机构进行调查。
2020 年1月28日——该局运行脚本并确认其Citrix系统遭到黑客攻击。
2020 年1月31日——该局收到第二份CISA请求,以调查被黑服务器。
2020 年2月5日——该局确认有更多服务器遭到黑客攻击。
尽管人口普查局的防火墙检测到了入侵并阻止了攻击者扩大入侵,但OIG表示,该机构在其他几个方面都失败了,例如尽管供应商发出警告,但在数周内缓解了漏洞,在Citrix服务器上运行了报废软件,并需要数周时间调查并向CISA官员确认违规行为。
此外,OIG表示,人口普查局也没有更改被黑客入侵的Citrix服务器的默认日志记录设置,这意味着在进行深入调查时,包含关键证据的日志已被轮换并从受感染系统中删除。在其他情况下,设备要么不保留日志,要么试图将日志发送到一年多前停用的SIEM(安全信息和事件管理)平台。
DoppelPaymer勒索团伙还利用同样的错误在2月违入侵了布列塔尼电信,一家私人持有的法国云托管和企业电信公司的网络。
根据美国、英国和澳大利亚网络安全机构的联合报告,CVE-2019-19781已被FBI列入其过去两年的首要目标漏洞列表,并被NSA列入俄罗斯赞助的国家黑客积极滥用的前五名漏洞。
今天,勒索软件团伙和APT组织经常(ab)使用相同的漏洞。2020年3月,同样的漏洞也被归咎于澳大利亚国防军招募网络安全漏洞的根本原因。
