正如美國監(jiān)察長辦公室 （OIG） 在最近的一份報告中披露的那樣，美國人口普查局的服務(wù)器于2020年1月11日遭到黑客入侵，黑客利用了Citrix ADC零日漏洞。

　　“這些服務(wù)器的目的是為該局提供遠程訪問功能，供其企業(yè)員工訪問生產(chǎn)、開發(fā)和實驗室網(wǎng)絡(luò)。據(jù)系統(tǒng)人員稱，這些服務(wù)器沒有提供對2020年人口普查網(wǎng)絡(luò)的訪問，”監(jiān)察辦說。

　　“在對遠程訪問服務(wù)器的攻擊期間，該局的防火墻早在2020年1月13日就阻止了攻擊者從遠程訪問服務(wù)器到其指揮和控制基礎(chǔ)設(shè)施進行通信的企圖。”但是，直到2020年1月28日，也就是2個多星期后，無線電通信局才意識到服務(wù)器已遭到入侵。“

　　監(jiān)察長辦公室在本周的一份報告中表示，黑客入侵的目的是訪問該機構(gòu)一直用來為其遠程工作人員提供對其內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限的服務(wù)器 。

　　該漏洞利用部分成功，因為攻擊者修改了系統(tǒng)上的用戶帳戶數(shù)據(jù)以準備遠程執(zhí)行代碼。然而，攻擊者試圖通過在受影響的服務(wù)器中創(chuàng)建后門來維持對系統(tǒng)的訪問，但沒有成功。監(jiān)察長辦公室，OIG-21-034-A報告

　　黑客入侵了該機構(gòu)的Citrix服務(wù)器

　　雖然OIG的報告被編輯以刪除所有提及被利用的漏洞和軟件供應(yīng)商名稱的內(nèi)容，但人口普查局對OIG圍繞攻擊的詢問的回應(yīng)沒有受到影響，顯示被編輯的供應(yīng)商是Citrix思杰。

　　”由于該局無法控制的情況——包括對Citrix工程師的依賴（他們已經(jīng)在支持聯(lián)邦政府的客戶，他們意識到2020年1月的攻擊造成更大影響）來完成遷移，以及 COVID-19大流行——遷移被推遲了，“該局說。

　　再加上OIG提到該漏洞于2019年12月17日披露，可以準確地將其定位為CVE-2019-19781，這是一個影響Citrix的應(yīng)用交付控制器 （ADC）、網(wǎng)關(guān)和SD-WAN WANOP的關(guān)鍵漏洞。

　　該漏洞被跟蹤為CVE-2019-19781，允許攻擊者繞過Citrix ADC設(shè)備上的身份驗證并執(zhí)行惡意代碼訪問組織的內(nèi)部網(wǎng)絡(luò)。

　　Citrix于2019年12月17日發(fā)布了有關(guān)此漏洞的安全公告 ，并發(fā)布了緩解措施，以便其客戶可以在公司仍在開發(fā)軟件補丁時阻止攻擊。

　　雖然修復(fù)程序于2020年1月下旬發(fā)布，但針對Citrix ADC設(shè)備的攻擊早在2020年1月11日就開始了，在當(dāng)時1天前，一群安全研究人員在GitHub上發(fā)布了概念驗證漏洞。

　　根據(jù)OIG的報告，美國人口普查局的服務(wù)器似乎是最先受到攻擊的服務(wù)器之一，該機構(gòu)的Citrix系統(tǒng)在主動利用的第一天就遭到黑客攻擊。

　　攻擊時間線：

　　2019年12月17日——Citrix披露了CVE-2019-19781，這是Citrix Application Delivery Controller（ADC）（以前稱為NetScaler ADC）和Citrix Gateway（以前稱為NetScaler Gateway）中的一個漏洞。補丁不可用，但供應(yīng)商發(fā)布了緩解措施以防止攻擊。

　　2020 年1月10日——概念驗證漏洞利用代碼在GitHub上發(fā)布。

　　2020 年1月11日——美國人口普查局Citrix服務(wù)器被使用公開漏洞遭到破壞。

　　2020 年1月13日——美國人口普查局防火墻阻止攻擊者與其遠程命令和控制 （C&C） 服務(wù)器進行通信。

　　2020 年1月15日——該局從一個信息共享合作伙伴那里收到一份惡意 IP 地址列表，這些地址被用來進行漏洞利用。

　　2020 年1月16日——該局的安全團隊收到CISA通知，稱其服務(wù)器被黑客入侵，并要求該機構(gòu)進行調(diào)查。

　　2020 年1月28日——該局運行腳本并確認其Citrix系統(tǒng)遭到黑客攻擊。

　　2020 年1月31日——該局收到第二份CISA請求，以調(diào)查被黑服務(wù)器。

　　2020 年2月5日——該局確認有更多服務(wù)器遭到黑客攻擊。

　　盡管人口普查局的防火墻檢測到了入侵并阻止了攻擊者擴大入侵，但OIG表示，該機構(gòu)在其他幾個方面都失敗了，例如盡管供應(yīng)商發(fā)出警告，但在數(shù)周內(nèi)緩解了漏洞，在Citrix服務(wù)器上運行了報廢軟件，并需要數(shù)周時間調(diào)查并向CISA官員確認違規(guī)行為。

　　此外，OIG表示，人口普查局也沒有更改被黑客入侵的Citrix服務(wù)器的默認日志記錄設(shè)置，這意味著在進行深入調(diào)查時，包含關(guān)鍵證據(jù)的日志已被輪換并從受感染系統(tǒng)中刪除。在其他情況下，設(shè)備要么不保留日志，要么試圖將日志發(fā)送到一年多前停用的SIEM（安全信息和事件管理）平臺。

　　DoppelPaymer勒索團伙還利用同樣的錯誤在2月違入侵了布列塔尼電信，一家私人持有的法國云托管和企業(yè)電信公司的網(wǎng)絡(luò)。

　　根據(jù)美國、英國和澳大利亞網(wǎng)絡(luò)安全機構(gòu)的聯(lián)合報告，CVE-2019-19781已被FBI列入其過去兩年的首要目標漏洞列表，并被NSA列入俄羅斯贊助的國家黑客積極濫用的前五名漏洞。

　　今天，勒索軟件團伙和APT組織經(jīng)常（ab）使用相同的漏洞。2020年3月，同樣的漏洞也被歸咎于澳大利亞國防軍招募網(wǎng)絡(luò)安全漏洞的根本原因。