黑客绕过防火墙利用Citrix漏洞入侵美国人口普查局
美国人口普查局(US Census Bureau)的服务器于2020年1月11日被黑客入侵,此前黑客利用了Citrix ADC零日漏洞(zero-day),但该漏洞未打补丁。
“这些服务器的目的是向该局提供远程访问能力,使其企业工作人员能够访问生产、开发和实验室网络。据系统人员称,这些服务器无法接入2020年十年一次的人口普查网络。”
“在对远程访问服务器的攻击期间,该局的防火墙早在2020年1月13日就阻止了攻击者试图从远程访问服务器与其指挥和控制基础设施进行通信。
“然而,直到2周多后的2020年1月28日,该局才知道服务器被入侵。”
攻击仅部分成功
虽然攻击者能够破坏该局的服务器并设置允许他们远程执行恶意代码的流氓管理员帐户,但他们无法部署后门来保持对服务器的访问并实现他们的目标。
据OIG称,该局未能缓解攻击中利用的关键漏洞,导致其服务器易受攻击。
在他们的服务器被入侵后,该局也未能及时发现和报告攻击。它还没有维护足够的系统日志,阻碍了事件调查。
“由于人口普查局和监察办都在此事件后得出结论,没有迹象表明任何2020年十年人口普查系统受到损害,也没有任何恶意行为影响 2020 年十年人口统计的证据,”在回复监察办对事件的审查时回应道。
“此外,没有任何由人口普查局代表公众维护和管理的系统或数据因为调查小组报告中强调的事件而遭到泄露、操纵或丢失。”
攻击者利用了一个严重的Citrix漏洞
美国人口普查局的一位发言人告诉记者,在联系他们征求意见时,可以看到该机构对 OIG 报告的回应,那里找到了需要的信息,以确定黑客用来入侵该局服务器的攻击矢量。
虽然OIG的报告被修改了,删除了所有提到被利用的漏洞和软件供应商的名字,但人口普查局对OIG关于攻击的询问的回应没有被修改,显示被修改的供应商是Citrix。
“由于该局无法控制的情况——包括依赖Citrix工程师(他们已经在全力支持联邦政府的客户,这些客户从2020年1月的袭击事件中受到了更大的影响)来完成迁移,以及COVID-19大流行—迁移被推迟了,”该局说。
再加上OIG提到该漏洞于2019年12月17日披露,可以准确地将其定位为CVE-2019-19781,这是一个影响Citrix 的应用交付控制器 (ADC)、网关和SD-WAN WANOP设备的严重漏洞。
成功利用CVE-2019-19781漏洞,远程攻击者可以在未打补丁的服务器上执行任意代码,无需身份验证即可访问组织内部网络。
已被利用的Citrix bug仍在积极利用中
Citrix于2019年12月17日披露了安全漏洞并提供了缓解措施,并于2020年1月24日发布了针对所有受影响产品的安全更新以解决该漏洞。
然而,在1月8日检测到Citrix服务器存在漏洞后两天,针对CVE-2019-19781的概念验证漏洞被公开。
威胁行为者抓住机会,开始攻击未打补丁的Citrix服务器,安全研究人员观察到他们在被攻击的服务器上部署恶意软件,包括Sodinokibi和Ragnarok勒索软件有效负载。
今年2月,DoppelPaymer勒索软件团伙还利用同样的漏洞,入侵了法国私有云托管和企业电信公司Bretagne Télécom的网络。
从那时起,CVE-2019-19781 已被FBI列入其过去两年的首要目标漏洞列表,并被NSA 列入俄罗斯赞助的国家黑客积极滥用的前五名漏洞。
提及CVE-2019-19781的政府建议包括:缓解CVE-2019-19781、APT29针对COVID-19 疫苗开发以及检测和预防Web Shell恶意软件。
网络的安全性不取决于使用了多少安全防护,而是系统中的脆弱环节。这些易于受到网络攻击的脆弱环节及安全漏洞为黑客成功入侵提供了先决条件。数据显示,90%的网络安全问题都是由软件自身安全漏洞导致的,可见软件安全是网络安全最基础的防线。数据显示,超过六成的安全漏洞与代码有关,因此加强代码安全在减少软件安全漏洞上起到积极的作用。尤其随着应用软件爆发式增长,企业在开发软件时,安全问题更应置于产品上线时间和功能之前,在开发阶段对源代码检测可以有效控制漏洞数量强化软件安全,为网络安全提供有力支撑。
参读链接: