黑客繞過(guò)防火墻利用Citrix漏洞入侵美國(guó)人口普查局

美國(guó)人口普查局(US Census Bureau)的服務(wù)器于2020年1月11日被黑客入侵，此前黑客利用了Citrix ADC零日漏洞(zero-day)，但該漏洞未打補(bǔ)丁。

“這些服務(wù)器的目的是向該局提供遠(yuǎn)程訪問(wèn)能力，使其企業(yè)工作人員能夠訪問(wèn)生產(chǎn)、開(kāi)發(fā)和實(shí)驗(yàn)室網(wǎng)絡(luò)。據(jù)系統(tǒng)人員稱，這些服務(wù)器無(wú)法接入2020年十年一次的人口普查網(wǎng)絡(luò)?！?/p>

“在對(duì)遠(yuǎn)程訪問(wèn)服務(wù)器的攻擊期間，該局的防火墻早在2020年1月13日就阻止了攻擊者試圖從遠(yuǎn)程訪問(wèn)服務(wù)器與其指揮和控制基礎(chǔ)設(shè)施進(jìn)行通信。

“然而，直到2周多后的2020年1月28日，該局才知道服務(wù)器被入侵?！?/p>

攻擊僅部分成功

雖然攻擊者能夠破壞該局的服務(wù)器并設(shè)置允許他們遠(yuǎn)程執(zhí)行惡意代碼的流氓管理員帳戶，但他們無(wú)法部署后門(mén)來(lái)保持對(duì)服務(wù)器的訪問(wèn)并實(shí)現(xiàn)他們的目標(biāo)。

據(jù)OIG稱，該局未能緩解攻擊中利用的關(guān)鍵漏洞，導(dǎo)致其服務(wù)器易受攻擊。

在他們的服務(wù)器被入侵后，該局也未能及時(shí)發(fā)現(xiàn)和報(bào)告攻擊。它還沒(méi)有維護(hù)足夠的系統(tǒng)日志，阻礙了事件調(diào)查。

“由于人口普查局和監(jiān)察辦都在此事件后得出結(jié)論，沒(méi)有跡象表明任何2020年十年人口普查系統(tǒng)受到損害，也沒(méi)有任何惡意行為影響 2020 年十年人口統(tǒng)計(jì)的證據(jù)，”在回復(fù)監(jiān)察辦對(duì)事件的審查時(shí)回應(yīng)道。

“此外，沒(méi)有任何由人口普查局代表公眾維護(hù)和管理的系統(tǒng)或數(shù)據(jù)因?yàn)檎{(diào)查小組報(bào)告中強(qiáng)調(diào)的事件而遭到泄露、操縱或丟失。”

攻擊者利用了一個(gè)嚴(yán)重的Citrix漏洞

美國(guó)人口普查局的一位發(fā)言人告訴記者，在聯(lián)系他們征求意見(jiàn)時(shí)，可以看到該機(jī)構(gòu)對(duì) OIG 報(bào)告的回應(yīng)，那里找到了需要的信息，以確定黑客用來(lái)入侵該局服務(wù)器的攻擊矢量。

雖然OIG的報(bào)告被修改了，刪除了所有提到被利用的漏洞和軟件供應(yīng)商的名字，但人口普查局對(duì)OIG關(guān)于攻擊的詢問(wèn)的回應(yīng)沒(méi)有被修改，顯示被修改的供應(yīng)商是Citrix。

“由于該局無(wú)法控制的情況——包括依賴Citrix工程師(他們已經(jīng)在全力支持聯(lián)邦政府的客戶，這些客戶從2020年1月的襲擊事件中受到了更大的影響)來(lái)完成遷移，以及COVID-19大流行—遷移被推遲了，”該局說(shuō)。

再加上OIG提到該漏洞于2019年12月17日披露，可以準(zhǔn)確地將其定位為CVE-2019-19781，這是一個(gè)影響Citrix 的應(yīng)用交付控制器 (ADC)、網(wǎng)關(guān)和SD-WAN WANOP設(shè)備的嚴(yán)重漏洞。

成功利用CVE-2019-19781漏洞，遠(yuǎn)程攻擊者可以在未打補(bǔ)丁的服務(wù)器上執(zhí)行任意代碼，無(wú)需身份驗(yàn)證即可訪問(wèn)組織內(nèi)部網(wǎng)絡(luò)。

已被利用的Citrix bug仍在積極利用中

Citrix于2019年12月17日披露了安全漏洞并提供了緩解措施，并于2020年1月24日發(fā)布了針對(duì)所有受影響產(chǎn)品的安全更新以解決該漏洞。

然而，在1月8日檢測(cè)到Citrix服務(wù)器存在漏洞后兩天，針對(duì)CVE-2019-19781的概念驗(yàn)證漏洞被公開(kāi)。

威脅行為者抓住機(jī)會(huì)，開(kāi)始攻擊未打補(bǔ)丁的Citrix服務(wù)器，安全研究人員觀察到他們?cè)诒还舻姆?wù)器上部署惡意軟件，包括Sodinokibi和Ragnarok勒索軟件有效負(fù)載。

今年2月，DoppelPaymer勒索軟件團(tuán)伙還利用同樣的漏洞，入侵了法國(guó)私有云托管和企業(yè)電信公司Bretagne Télécom的網(wǎng)絡(luò)。

從那時(shí)起，CVE-2019-19781 已被FBI列入其過(guò)去兩年的首要目標(biāo)漏洞列表，并被NSA 列入俄羅斯贊助的國(guó)家黑客積極濫用的前五名漏洞。

提及CVE-2019-19781的政府建議包括：緩解CVE-2019-19781、APT29針對(duì)COVID-19 疫苗開(kāi)發(fā)以及檢測(cè)和預(yù)防Web Shell惡意軟件。

網(wǎng)絡(luò)的安全性不取決于使用了多少安全防護(hù)，而是系統(tǒng)中的脆弱環(huán)節(jié)。這些易于受到網(wǎng)絡(luò)攻擊的脆弱環(huán)節(jié)及安全漏洞為黑客成功入侵提供了先決條件。數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)安全問(wèn)題都是由軟件自身安全漏洞導(dǎo)致的，可見(jiàn)軟件安全是網(wǎng)絡(luò)安全最基礎(chǔ)的防線。數(shù)據(jù)顯示，超過(guò)六成的安全漏洞與代碼有關(guān)，因此加強(qiáng)代碼安全在減少軟件安全漏洞上起到積極的作用。尤其隨著應(yīng)用軟件爆發(fā)式增長(zhǎng)，企業(yè)在開(kāi)發(fā)軟件時(shí)，安全問(wèn)題更應(yīng)置于產(chǎn)品上線時(shí)間和功能之前，在開(kāi)發(fā)階段對(duì)源代碼檢測(cè)可以有效控制漏洞數(shù)量強(qiáng)化軟件安全，為網(wǎng)絡(luò)安全提供有力支撐。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/us-census-bureau-hacked-in-january-2020-using-citrix-exploit/