黑客于2020年1月通过Citrix漏洞入侵了美国人口普查局。访问服务器中的一个主要漏洞危及了该机构的服务器。对此,人口普查局官员表示,被破坏的服务器没有连接到2020年“十年一遇”的人口普查网络,入侵者没有机会影响人口普查结果。美国监察长办公室(OIG)在本周的一份报告中表示,黑客只能访问该机构的远程访问服务器。据悉,该服务器主要用于为人口普查局的远程工作人员提供访问其内部网络的权限。“攻击只取得了部分成功,因为攻击者确实修改了系统上的用户帐户数据以准备远程代码执行,”报告指出。但是,攻击者试图通过在受影响的服务器上创建后门来维持对系统的控制。访问被防火墙阻止,操作失败。”黑客入侵美国人口普查局Citrix服务器虽然监察长官员从其报告中删除了服务器供应商的名称,但文件中包含的其他一些细节表明黑客利用了该机构CitrixADC中的漏洞网关服务器。该漏洞被跟踪为CVE-2019-19781,允许攻击者绕过CitrixADC设备上的身份验证并执行恶意代码。Citrix于2019年12月17日发布了有关该漏洞的安全公告,并发布了缓解措施,以便其客户可以在公司仍在开发软件补丁时阻止攻击。虽然修复程序于2020年1月下旬发布,但针对CitrixADC设备的攻击在此之前就开始了,大概可以追溯到2020年1月11日,当时一群安全研究人员发布了概念在GitHub上,验证漏洞利用的第二天。美国人口普查局的服务器似乎在f根据监察长办公室的报告,该机构的Citrix系统在主??动攻击的第一天就遭到黑客攻击。攻击时间线:2019年12月17日——Citrix披露了CVE-2019-19781,这是CitrixApplicationDeliveryController(简称ADC,原名NetScalerADC)和CitrixGateway(原名NetScalerGateway)漏洞之一。补丁不可用,但供应商发布了缓解措施以防止攻击;2020年1月10日——在GitHub上发布了概念验证漏洞利用代码;2020年1月11日——美国人口普查局Citrix服务器被攻击者攻击2020年1月13日——美国人口普查局防火墙阻止攻击者与其远程命令和控制(C&C)服务器通信;用于攻击的合作伙伴的恶意IP地址列表;2020年1月16日——美国人口普查局的安全团队收到CISA的通知,称其服务器已被黑客入侵,该机构正在调查;2020年1月28日——美国人口普查局运行脚本并确认其Citrix系统遭到黑客攻击;2020年1月31日——美国人口普查局收到第二份CISA调查服务器被黑的通知;2020年2月5日-美国人口普查局确认其他服务器遭到黑客攻击。虽然人口普查局的防火墙检测到入侵并阻止了攻击者的进一步入侵,但监察长办公室表示该机构在其他几个方面都失败了。例如,尽管服务器供应商发出警告,发布了缓解措施,但该局数周仍未缓解漏洞,继续在Citrix服务器上运行过时的软件,在收到CISA通知后,花了数周时间才完成调查和升级。此外,监察长办公室表示,人口普查局也没有更改被黑客攻击的Citrix服务器的默认日志记录设置,这意味着在进行深入调查时,包含关键证据的日志被覆盖并从受感染的系统中删除。.除了这种情况,一些设备要么不保留日志,要么试图将日志发送到一年多前停用的SIEM(安全信息和事件管理)平台。根据美国、英国和澳大利亚网络安全机构的一份联合报告,自美国人口普查局漏洞以来,CVE-2019-19781Citrix漏洞已成为过去两年中被利用最多的安全漏洞之一。如今,勒索软件团伙、初始访问代理和国家支持的网络间谍组织经常使用相同的漏洞发起攻击。2020年3月,同样的漏洞也被认为是导致澳大利亚国防军招募网络安全漏洞的根本原因。
