[[418603]]

本周一(8月16日)，美國政府監管機構表示，身份不明的黑客于2020年1月通過濫用美國人口普查局遠程訪問服務器中一個主要漏洞入侵了該機構的服務器。

對此，人口普查局官員表示，受損的服務器并未連接到2020年“十年一次”的人口普查網絡，而且入侵者也沒有機會影響人口普查結果。

而美國監察長辦公室(OIG)在本周的一份報告中表示，此次黑客入侵只是獲得了該機構遠程訪問服務器的訪問權限。據悉，該服務器主要用于為人口普查局的遠程工作人員提供對其內部網絡的訪問權限。

報告指出，“該漏洞利用只獲得了部分成功，因為攻擊者確實修改了系統上的用戶賬戶數據以準備遠程執行代碼。然而，攻擊者試圖通過在受影響的服務器上創建后門來維持對系統的訪問時卻遭遇防火墻攔截，最終導致行動失敗。”

黑客入侵了美國人口普查局的Citrix服務器

雖然監察長辦公室官員在其報告中刪去了服務器供應商的名稱，但文件中包含的其他幾個細節表明黑客正是利用了該機構Citrix ADC網關服務器中的漏洞。

該漏洞被跟蹤為CVE-2019-19781，允許攻擊者繞過Citrix ADC設備上的身份驗證并執行惡意代碼。

Citrix早在2019年12月17日就發布了有關該漏洞的安全公告，并發布了緩解措施，以便其客戶能夠在公司仍在開發軟件補丁期間阻止攻擊。

雖然修復程序于2020年1月下旬發布，但針對Citrix ADC設備的攻擊在此之前就已經開始了，大概可以追溯到2020年1月11日，也就是一組安全研究人員在GitHub上發布了概念驗證漏洞利用的第二天。

據監察長辦公室的報告所示，美國人口普查局的服務器似乎是最先受到攻擊的服務器之一，該機構的Citrix系統在主動漏洞利用(Active exploit)的第一天就遭到了黑客攻擊。

攻擊時間線：

2019年12月17日——Citrix披露了CVE-2019-19781，這是Citrix Application Delivery Controller (簡稱ADC，以前稱為NetScaler ADC)和 Citrix Gateway(以前稱為NetScaler Gateway)中的一個漏洞。補丁不可用，但供應商發布了緩解措施以防止攻擊;

2020年1月10日——概念驗證漏洞利用代碼在GitHub上發布;

2020年1月11日——美國人口普查局Citrix服務器遭攻擊者使用公開漏洞破壞;

2020年1月13日——美國人口普查局防火墻阻止攻擊者與其遠程命令和控制(C&C)服務器進行通信;

2020年1月15日——美國人口普查局收到了來自信息共享合作伙伴的惡意IP地址列表，這些地址被用于進行漏洞利用;

2020年1月16日——美國人口普查局的安全團隊收到了來自CISA的通知，稱其服務器被黑客入侵，并要求該機構進行調查;

2020年1月28日——美國人口普查局運行腳本并確認其Citrix系統遭到黑客攻擊;

2020年1月31日——美國人口普查局收到第二份CISA通知，要求其調查被黑服務器;

2020年2月5日——美國人口普查局確認其他服務器遭到黑客攻擊。

盡管人口普查局的防火墻檢測到了入侵，并阻止了攻擊者的進一步入侵行為，但監察長辦公室表示，該機構在其他幾個方面的表現都很失敗，例如，盡管服務器供應商已經發出了警告，并發布了緩解措施，但該局仍持續數周未對漏洞進行緩解，并繼續在Citrix服務器上運行報廢軟件，而且在接收到CISA通知后，花費了數周時間才完成調查和上報工作。

此外，監察長辦公室還表示，人口普查局也沒有更改被黑客入侵的Citrix服務器的默認日志記錄設置，這意味著在進行深入調查時，包含關鍵證據的日志已被覆蓋并從受感染系統中刪除。除了這種情況外，一些設備還存在不保留日志，或是嘗試將日志發送到一年多前停用的SIEM(安全信息和事件管理)平臺上的情況。

根據美國、英國和澳大利亞網絡安全機構的聯合報告指出，自美國人口普查局違規事件以來，CVE-2019-19781 Citrix漏洞已經成為過去兩年中被利用最多的安全漏洞之一。

如今，勒索軟件團伙、初始訪問經紀人以及國家支持的網絡間諜組織也經常使用相同的漏洞來發動攻擊。2020年3月，同樣的漏洞也被指為導致澳大利亞國防軍招募網絡安全漏洞的根本原因。