根据美国监察长办公室(OIG)近日披露的一份报告,美国政府使用的Citrix设备存在零日漏洞美国人口普查局。服务器于2021年1月11日遭到入侵,黑客利用未修补的CitrixADC零日漏洞入侵服务器。根据该报告,受感染的服务器为该局提供了远程访问功能,使其员工能够访问生产、开发和实验室网络。系统人员被攻击后表示,这些服务器无法访问2020十年一次的人口普查网络。这次袭击并不完全成功。虽然攻击者能够破坏该局的服务器并设置流氓管理员帐户以允许他们远程执行恶意代码,但幸运的是他们无法部署后门来维持对服务器的长期访问。据OIG称,美国人口普查局未能及时解决关键漏洞,导致其服务器容易受到攻击。此外,服务器被攻破后,该局也未能及时发现并报告攻击事件,也没有维护足够的系统日志,对事件的调查造成了阻碍。美国监察长办公室(OIG)表示,没有迹象表明2020年十年一次的人口普查系统有任何妥协或任何其他影响2020年十年一次的人口普查的恶意行为。此外,美国人口普查局代表公众维护和管理的系统或数据没有受到损害、操纵或丢失。报告还显示,2020年1月13日,黑客攻击远程访问服务器时,试图与远程服务器进行通信,美国人口普查局的防火墙已经拦截了部分攻击。然而,该局直到两周后的1月28日才知道服务器已被攻击者入侵。攻击者利用了Citrix的一个关键漏洞OIG提到该漏洞是在2019年12月17日披露的,因此可以查明它作为CVE-2019-19781,一个影响Citrix(ADC)、网关和具有严重漏洞的SD-WANWANOP设备的应用程序交付控制器。不幸的是,OIG报告删除了漏洞和软件供应商的名称,显示被删除的供应商是Citrix,但人口普查局对攻击的回应没有修改。美国人口普查局表示,由于COVID-19和缺乏已经有能力支持联邦政府客户的工程师,迁移尚未完成。如果CVE-2019-19781漏洞被成功利用,远程攻击者可以在未打补丁的服务器上执行任意代码,无需身份验证即可访问内部网络。Citrix漏洞仍在被积极利用Citrix于2019年12月17日披露了一个安全漏洞,提供了缓解措施,并于2020年1月24日发布了解决该漏洞的产品更新。但是,针对CVE-2019-19781的概念验证漏洞已经制作完成该漏洞于1月8日在Citrix服务器中检测到两天后公开。攻击者借此机会开始瞄准未修补的Citrix服务器,安全研究人员观察到攻击者在受感染的服务器上部署了恶意软件,包括Sodinokibi和Ragnarok勒索软件有效负载等。2月,DoppelPaymer勒索软件团伙利用相同的漏洞破坏了法国电信公司BretagneTélécom的网络。此后,CVE-2019-19781漏洞连续两年位列FBI目标漏洞榜首,并被美国国家安全局(NSA)列为黑客滥用漏洞的前五名。
