正如美國(guó)監(jiān)察長(zhǎng)辦公室 （OIG） 在最近的一份報(bào)告中披露的那樣，美國(guó)人口普查局的服務(wù)器于2020年1月11日遭到黑客入侵，黑客利用了Citrix ADC零日漏洞。

　　“這些服務(wù)器的目的是為該局提供遠(yuǎn)程訪問(wèn)功能，供其企業(yè)員工訪問(wèn)生產(chǎn)、開(kāi)發(fā)和實(shí)驗(yàn)室網(wǎng)絡(luò)。據(jù)系統(tǒng)人員稱，這些服務(wù)器沒(méi)有提供對(duì)2020年人口普查網(wǎng)絡(luò)的訪問(wèn)，”監(jiān)察辦說(shuō)。

　　“在對(duì)遠(yuǎn)程訪問(wèn)服務(wù)器的攻擊期間，該局的防火墻早在2020年1月13日就阻止了攻擊者從遠(yuǎn)程訪問(wèn)服務(wù)器到其指揮和控制基礎(chǔ)設(shè)施進(jìn)行通信的企圖。”但是，直到2020年1月28日，也就是2個(gè)多星期后，無(wú)線電通信局才意識(shí)到服務(wù)器已遭到入侵?！?/p>

　　監(jiān)察長(zhǎng)辦公室在本周的一份報(bào)告中表示，黑客入侵的目的是訪問(wèn)該機(jī)構(gòu)一直用來(lái)為其遠(yuǎn)程工作人員提供對(duì)其內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限的服務(wù)器 。

　　該漏洞利用部分成功，因?yàn)楣粽咝薷牧讼到y(tǒng)上的用戶帳戶數(shù)據(jù)以準(zhǔn)備遠(yuǎn)程執(zhí)行代碼。然而，攻擊者試圖通過(guò)在受影響的服務(wù)器中創(chuàng)建后門(mén)來(lái)維持對(duì)系統(tǒng)的訪問(wèn)，但沒(méi)有成功。監(jiān)察長(zhǎng)辦公室，OIG-21-034-A報(bào)告

　　黑客入侵了該機(jī)構(gòu)的Citrix服務(wù)器

　　雖然OIG的報(bào)告被編輯以刪除所有提及被利用的漏洞和軟件供應(yīng)商名稱的內(nèi)容，但人口普查局對(duì)OIG圍繞攻擊的詢問(wèn)的回應(yīng)沒(méi)有受到影響，顯示被編輯的供應(yīng)商是Citrix思杰。

　　”由于該局無(wú)法控制的情況——包括對(duì)Citrix工程師的依賴（他們已經(jīng)在支持聯(lián)邦政府的客戶，他們意識(shí)到2020年1月的攻擊造成更大影響）來(lái)完成遷移，以及 COVID-19大流行——遷移被推遲了，“該局說(shuō)。

　　再加上OIG提到該漏洞于2019年12月17日披露，可以準(zhǔn)確地將其定位為CVE-2019-19781，這是一個(gè)影響Citrix的應(yīng)用交付控制器 （ADC）、網(wǎng)關(guān)和SD-WAN WANOP的關(guān)鍵漏洞。

　　該漏洞被跟蹤為CVE-2019-19781，允許攻擊者繞過(guò)Citrix ADC設(shè)備上的身份驗(yàn)證并執(zhí)行惡意代碼訪問(wèn)組織的內(nèi)部網(wǎng)絡(luò)。

　　Citrix于2019年12月17日發(fā)布了有關(guān)此漏洞的安全公告 ，并發(fā)布了緩解措施，以便其客戶可以在公司仍在開(kāi)發(fā)軟件補(bǔ)丁時(shí)阻止攻擊。

　　雖然修復(fù)程序于2020年1月下旬發(fā)布，但針對(duì)Citrix ADC設(shè)備的攻擊早在2020年1月11日就開(kāi)始了，在當(dāng)時(shí)1天前，一群安全研究人員在GitHub上發(fā)布了概念驗(yàn)證漏洞。

　　根據(jù)OIG的報(bào)告，美國(guó)人口普查局的服務(wù)器似乎是最先受到攻擊的服務(wù)器之一，該機(jī)構(gòu)的Citrix系統(tǒng)在主動(dòng)利用的第一天就遭到黑客攻擊。

　　攻擊時(shí)間線：

　　2019年12月17日——Citrix披露了CVE-2019-19781，這是Citrix Application Delivery Controller（ADC）（以前稱為NetScaler ADC）和Citrix Gateway（以前稱為NetScaler Gateway）中的一個(gè)漏洞。補(bǔ)丁不可用，但供應(yīng)商發(fā)布了緩解措施以防止攻擊。

　　2020 年1月10日——概念驗(yàn)證漏洞利用代碼在GitHub上發(fā)布。

　　2020 年1月11日——美國(guó)人口普查局Citrix服務(wù)器被使用公開(kāi)漏洞遭到破壞。

　　2020 年1月13日——美國(guó)人口普查局防火墻阻止攻擊者與其遠(yuǎn)程命令和控制 （C&C） 服務(wù)器進(jìn)行通信。

　　2020 年1月15日——該局從一個(gè)信息共享合作伙伴那里收到一份惡意 IP 地址列表，這些地址被用來(lái)進(jìn)行漏洞利用。

　　2020 年1月16日——該局的安全團(tuán)隊(duì)收到CISA通知，稱其服務(wù)器被黑客入侵，并要求該機(jī)構(gòu)進(jìn)行調(diào)查。

　　2020 年1月28日——該局運(yùn)行腳本并確認(rèn)其Citrix系統(tǒng)遭到黑客攻擊。

　　2020 年1月31日——該局收到第二份CISA請(qǐng)求，以調(diào)查被黑服務(wù)器。

　　2020 年2月5日——該局確認(rèn)有更多服務(wù)器遭到黑客攻擊。

　　盡管人口普查局的防火墻檢測(cè)到了入侵并阻止了攻擊者擴(kuò)大入侵，但OIG表示，該機(jī)構(gòu)在其他幾個(gè)方面都失敗了，例如盡管供應(yīng)商發(fā)出警告，但在數(shù)周內(nèi)緩解了漏洞，在Citrix服務(wù)器上運(yùn)行了報(bào)廢軟件，并需要數(shù)周時(shí)間調(diào)查并向CISA官員確認(rèn)違規(guī)行為。

　　此外，OIG表示，人口普查局也沒(méi)有更改被黑客入侵的Citrix服務(wù)器的默認(rèn)日志記錄設(shè)置，這意味著在進(jìn)行深入調(diào)查時(shí)，包含關(guān)鍵證據(jù)的日志已被輪換并從受感染系統(tǒng)中刪除。在其他情況下，設(shè)備要么不保留日志，要么試圖將日志發(fā)送到一年多前停用的SIEM（安全信息和事件管理）平臺(tái)。

　　DoppelPaymer勒索團(tuán)伙還利用同樣的錯(cuò)誤在2月違入侵了布列塔尼電信，一家私人持有的法國(guó)云托管和企業(yè)電信公司的網(wǎng)絡(luò)。

　　根據(jù)美國(guó)、英國(guó)和澳大利亞網(wǎng)絡(luò)安全機(jī)構(gòu)的聯(lián)合報(bào)告，CVE-2019-19781已被FBI列入其過(guò)去兩年的首要目標(biāo)漏洞列表，并被NSA列入俄羅斯贊助的國(guó)家黑客積極濫用的前五名漏洞。

　　今天，勒索軟件團(tuán)伙和APT組織經(jīng)常（ab）使用相同的漏洞。2020年3月，同樣的漏洞也被歸咎于澳大利亞國(guó)防軍招募網(wǎng)絡(luò)安全漏洞的根本原因。