根據美國監察長辦公室 (OIG) 最近披露的一份報告顯示，美國人口普查局使用的Citrix設備存在零日漏洞，該漏洞導致服務器在2021年1月11日遭到攻擊，黑客利用未修補的 Citrix ADC 零日漏洞入侵服務器。

報告中表明，被攻擊的服務器向該局提供遠程訪問能力，使其工作人員能夠訪問生產、開發和實驗室網絡。被攻擊后，系統人員表示，這些服務器無法接入2020年十年一次的人口普查網絡。

[[418530]]

攻擊行為未全部成功

雖然攻擊者能夠破壞該局的服務器，并建立了允許他們遠程執行惡意代碼的流氓管理員帳戶，幸運的是他們無法部署后門來保持對服務器的長期訪問。據 OIG 稱，此次美國人口普查局未能及時處理關鍵漏洞，才導致其服務器易受攻擊。此外，在服務器被攻陷后，該局也未能及時發現和報告攻擊行為，沒有維護足夠多的系統日志，這些行為都阻礙了事件的調查。

美國監察長辦公室 (OIG)稱，沒有跡象表明2020年十年人口普查系統受到任何損害，也沒有任何其他的惡意行為影響 2020 年的十年人口統計數據。此外，美國人口普查局代表公眾維護和管理的系統或數據沒有受到損害、操縱或丟失。

報告中還表明，在2020年1月13日，黑客對遠程訪問服務器攻擊時，試圖與遠程服務器進行通信，美國人口普查局的防火墻已經阻止了部分攻擊。然而，直到2周多后的1月28日，該局才知道服務器被攻擊者入侵。

攻擊者利用了一個嚴重的 Citrix 漏洞

OIG提到該漏洞是在2019年12月17日披露的，因此有可能將其準確定位為CVE-2019-19781，這是一個影響Citrix的應用程序交付控制器(ADC)、網關和SD-WAN WANOP設備的嚴重漏洞。不幸的是OIG的報告中刪除了漏洞和軟件供應商的名字，顯示被刪除的供應商是Citrix，但是人口普查局對攻擊的回應沒有被修改。

美國人口調查局稱，因為 COVID-19和缺少工程師(已經滿負荷為聯邦政府的客戶提供支持)，遷移工作未完成。

如果成功利用CVE-2019-19781漏洞，遠程攻擊者可以在未打補丁的服務器上執行任意代碼，無需身份驗證即可訪問內部網絡。

仍在積極利用的 Citrix 漏洞

Citrix于2019年12月17日披露了安全漏洞，并提供了緩解措施，并于2020年1月24 日發布了解決該漏洞的產品更新。

然而，在1月8日檢測到Citrix服務器存在漏洞后兩天，針對CVE-2019-19781的概念驗證漏洞被公開。攻擊者趁機開始攻擊未打補丁的 Citrix 服務器，安全研究人員觀察到攻擊者在受感染的服務器上部署惡意軟件，包括Sodinokibi和Ragnarok勒索軟件負載等。

今年2月，DoppelPaymer勒索軟件團伙還利用同樣的漏洞，入侵了法國的一家電信公司Bretagne Télécom的網絡。自那以后，CVE-2019-19781漏洞被美國聯邦調查局(FBI)列入過去兩年的頭號目標漏洞名單，并被美國國家安全局(NSA)列入黑客濫用的前五名漏洞。