根據(jù)美國監(jiān)察長辦公室 (OIG) 最近披露的一份報告顯示，美國人口普查局使用的Citrix設(shè)備存在零日漏洞，該漏洞導(dǎo)致服務(wù)器在2021年1月11日遭到攻擊，黑客利用未修補(bǔ)的 Citrix ADC 零日漏洞入侵服務(wù)器。

報告中表明，被攻擊的服務(wù)器向該局提供遠(yuǎn)程訪問能力，使其工作人員能夠訪問生產(chǎn)、開發(fā)和實驗室網(wǎng)絡(luò)。被攻擊后，系統(tǒng)人員表示，這些服務(wù)器無法接入2020年十年一次的人口普查網(wǎng)絡(luò)。

[[418530]]

攻擊行為未全部成功

雖然攻擊者能夠破壞該局的服務(wù)器，并建立了允許他們遠(yuǎn)程執(zhí)行惡意代碼的流氓管理員帳戶，幸運(yùn)的是他們無法部署后門來保持對服務(wù)器的長期訪問。據(jù) OIG 稱，此次美國人口普查局未能及時處理關(guān)鍵漏洞，才導(dǎo)致其服務(wù)器易受攻擊。此外，在服務(wù)器被攻陷后，該局也未能及時發(fā)現(xiàn)和報告攻擊行為，沒有維護(hù)足夠多的系統(tǒng)日志，這些行為都阻礙了事件的調(diào)查。

美國監(jiān)察長辦公室 (OIG)稱，沒有跡象表明2020年十年人口普查系統(tǒng)受到任何損害，也沒有任何其他的惡意行為影響 2020 年的十年人口統(tǒng)計數(shù)據(jù)。此外，美國人口普查局代表公眾維護(hù)和管理的系統(tǒng)或數(shù)據(jù)沒有受到損害、操縱或丟失。

報告中還表明，在2020年1月13日，黑客對遠(yuǎn)程訪問服務(wù)器攻擊時，試圖與遠(yuǎn)程服務(wù)器進(jìn)行通信，美國人口普查局的防火墻已經(jīng)阻止了部分攻擊。然而，直到2周多后的1月28日，該局才知道服務(wù)器被攻擊者入侵。

攻擊者利用了一個嚴(yán)重的 Citrix 漏洞

OIG提到該漏洞是在2019年12月17日披露的，因此有可能將其準(zhǔn)確定位為CVE-2019-19781，這是一個影響Citrix的應(yīng)用程序交付控制器(ADC)、網(wǎng)關(guān)和SD-WAN WANOP設(shè)備的嚴(yán)重漏洞。不幸的是OIG的報告中刪除了漏洞和軟件供應(yīng)商的名字，顯示被刪除的供應(yīng)商是Citrix，但是人口普查局對攻擊的回應(yīng)沒有被修改。

美國人口調(diào)查局稱，因為 COVID-19和缺少工程師(已經(jīng)滿負(fù)荷為聯(lián)邦政府的客戶提供支持)，遷移工作未完成。

如果成功利用CVE-2019-19781漏洞，遠(yuǎn)程攻擊者可以在未打補(bǔ)丁的服務(wù)器上執(zhí)行任意代碼，無需身份驗證即可訪問內(nèi)部網(wǎng)絡(luò)。

仍在積極利用的 Citrix 漏洞

Citrix于2019年12月17日披露了安全漏洞，并提供了緩解措施，并于2020年1月24 日發(fā)布了解決該漏洞的產(chǎn)品更新。

然而，在1月8日檢測到Citrix服務(wù)器存在漏洞后兩天，針對CVE-2019-19781的概念驗證漏洞被公開。攻擊者趁機(jī)開始攻擊未打補(bǔ)丁的 Citrix 服務(wù)器，安全研究人員觀察到攻擊者在受感染的服務(wù)器上部署惡意軟件，包括Sodinokibi和Ragnarok勒索軟件負(fù)載等。

今年2月，DoppelPaymer勒索軟件團(tuán)伙還利用同樣的漏洞，入侵了法國的一家電信公司Bretagne Télécom的網(wǎng)絡(luò)。自那以后，CVE-2019-19781漏洞被美國聯(lián)邦調(diào)查局(FBI)列入過去兩年的頭號目標(biāo)漏洞名單，并被美國國家安全局(NSA)列入黑客濫用的前五名漏洞。