[[418603]]

本周一(8月16日)，美國(guó)政府監(jiān)管機(jī)構(gòu)表示，身份不明的黑客于2020年1月通過濫用美國(guó)人口普查局遠(yuǎn)程訪問服務(wù)器中一個(gè)主要漏洞入侵了該機(jī)構(gòu)的服務(wù)器。

對(duì)此，人口普查局官員表示，受損的服務(wù)器并未連接到2020年“十年一次”的人口普查網(wǎng)絡(luò)，而且入侵者也沒有機(jī)會(huì)影響人口普查結(jié)果。

而美國(guó)監(jiān)察長(zhǎng)辦公室(OIG)在本周的一份報(bào)告中表示，此次黑客入侵只是獲得了該機(jī)構(gòu)遠(yuǎn)程訪問服務(wù)器的訪問權(quán)限。據(jù)悉，該服務(wù)器主要用于為人口普查局的遠(yuǎn)程工作人員提供對(duì)其內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限。

報(bào)告指出，“該漏洞利用只獲得了部分成功，因?yàn)楣粽叽_實(shí)修改了系統(tǒng)上的用戶賬戶數(shù)據(jù)以準(zhǔn)備遠(yuǎn)程執(zhí)行代碼。然而，攻擊者試圖通過在受影響的服務(wù)器上創(chuàng)建后門來維持對(duì)系統(tǒng)的訪問時(shí)卻遭遇防火墻攔截，最終導(dǎo)致行動(dòng)失敗。”

黑客入侵了美國(guó)人口普查局的Citrix服務(wù)器

雖然監(jiān)察長(zhǎng)辦公室官員在其報(bào)告中刪去了服務(wù)器供應(yīng)商的名稱，但文件中包含的其他幾個(gè)細(xì)節(jié)表明黑客正是利用了該機(jī)構(gòu)Citrix ADC網(wǎng)關(guān)服務(wù)器中的漏洞。

該漏洞被跟蹤為CVE-2019-19781，允許攻擊者繞過Citrix ADC設(shè)備上的身份驗(yàn)證并執(zhí)行惡意代碼。

Citrix早在2019年12月17日就發(fā)布了有關(guān)該漏洞的安全公告，并發(fā)布了緩解措施，以便其客戶能夠在公司仍在開發(fā)軟件補(bǔ)丁期間阻止攻擊。

雖然修復(fù)程序于2020年1月下旬發(fā)布，但針對(duì)Citrix ADC設(shè)備的攻擊在此之前就已經(jīng)開始了，大概可以追溯到2020年1月11日，也就是一組安全研究人員在GitHub上發(fā)布了概念驗(yàn)證漏洞利用的第二天。

據(jù)監(jiān)察長(zhǎng)辦公室的報(bào)告所示，美國(guó)人口普查局的服務(wù)器似乎是最先受到攻擊的服務(wù)器之一，該機(jī)構(gòu)的Citrix系統(tǒng)在主動(dòng)漏洞利用(Active exploit)的第一天就遭到了黑客攻擊。

攻擊時(shí)間線：

2019年12月17日——Citrix披露了CVE-2019-19781，這是Citrix Application Delivery Controller (簡(jiǎn)稱ADC，以前稱為NetScaler ADC)和 Citrix Gateway(以前稱為NetScaler Gateway)中的一個(gè)漏洞。補(bǔ)丁不可用，但供應(yīng)商發(fā)布了緩解措施以防止攻擊;

2020年1月10日——概念驗(yàn)證漏洞利用代碼在GitHub上發(fā)布;

2020年1月11日——美國(guó)人口普查局Citrix服務(wù)器遭攻擊者使用公開漏洞破壞;

2020年1月13日——美國(guó)人口普查局防火墻阻止攻擊者與其遠(yuǎn)程命令和控制(C&C)服務(wù)器進(jìn)行通信;

2020年1月15日——美國(guó)人口普查局收到了來自信息共享合作伙伴的惡意IP地址列表，這些地址被用于進(jìn)行漏洞利用;

2020年1月16日——美國(guó)人口普查局的安全團(tuán)隊(duì)收到了來自CISA的通知，稱其服務(wù)器被黑客入侵，并要求該機(jī)構(gòu)進(jìn)行調(diào)查;

2020年1月28日——美國(guó)人口普查局運(yùn)行腳本并確認(rèn)其Citrix系統(tǒng)遭到黑客攻擊;

2020年1月31日——美國(guó)人口普查局收到第二份CISA通知，要求其調(diào)查被黑服務(wù)器;

2020年2月5日——美國(guó)人口普查局確認(rèn)其他服務(wù)器遭到黑客攻擊。

盡管人口普查局的防火墻檢測(cè)到了入侵，并阻止了攻擊者的進(jìn)一步入侵行為，但監(jiān)察長(zhǎng)辦公室表示，該機(jī)構(gòu)在其他幾個(gè)方面的表現(xiàn)都很失敗，例如，盡管服務(wù)器供應(yīng)商已經(jīng)發(fā)出了警告，并發(fā)布了緩解措施，但該局仍持續(xù)數(shù)周未對(duì)漏洞進(jìn)行緩解，并繼續(xù)在Citrix服務(wù)器上運(yùn)行報(bào)廢軟件，而且在接收到CISA通知后，花費(fèi)了數(shù)周時(shí)間才完成調(diào)查和上報(bào)工作。

此外，監(jiān)察長(zhǎng)辦公室還表示，人口普查局也沒有更改被黑客入侵的Citrix服務(wù)器的默認(rèn)日志記錄設(shè)置，這意味著在進(jìn)行深入調(diào)查時(shí)，包含關(guān)鍵證據(jù)的日志已被覆蓋并從受感染系統(tǒng)中刪除。除了這種情況外，一些設(shè)備還存在不保留日志，或是嘗試將日志發(fā)送到一年多前停用的SIEM(安全信息和事件管理)平臺(tái)上的情況。

根據(jù)美國(guó)、英國(guó)和澳大利亞網(wǎng)絡(luò)安全機(jī)構(gòu)的聯(lián)合報(bào)告指出，自美國(guó)人口普查局違規(guī)事件以來，CVE-2019-19781 Citrix漏洞已經(jīng)成為過去兩年中被利用最多的安全漏洞之一。

如今，勒索軟件團(tuán)伙、初始訪問經(jīng)紀(jì)人以及國(guó)家支持的網(wǎng)絡(luò)間諜組織也經(jīng)常使用相同的漏洞來發(fā)動(dòng)攻擊。2020年3月，同樣的漏洞也被指為導(dǎo)致澳大利亞國(guó)防軍招募網(wǎng)絡(luò)安全漏洞的根本原因。