【安全资讯】黑客利用 Citrix 漏洞入侵美国人口普查局

引言

本月16日，美国监察长办公室 (OIG) 发布报告称，2020年1月11日，黑客利用未修补的 Citrix CVE-2019-19781漏洞入侵了美国人口普查局的服务器。这些服务器可以提供远程访问功能，供员工访问生产、开发和实验室网络，但并未提供对 2020 年人口普查网络的访问。报告称，人口普查局的防火墙在2020年1月13日阻止了攻击者从远程访问服务器与其基础设施进行通信的企图。但是，直到2020年1月28日，无线电通信局才意识到服务器已遭到入侵。

简况

黑客利用了人口普查局的 Citrix ADC 网关服务器中的漏洞。该漏洞被跟踪为 CVE-2019-19781，允许攻击者绕过 Citrix ADC 设备上的身份验证并执行恶意代码。Citrix 曾于 2019 年 12 月 17 日发布有关此漏洞的安全公告 ，并于2020年1月24日发布了安全更新以解决该漏洞，但针对 Citrix ADC 设备的攻击早在2020年 1 月 11日就开始了。根据 OIG 的报告，美国人口普查局的服务器似乎是最先受到攻击的服务器之一，该机构的 Citrix 系统在使用的第一天就遭到黑客攻击。

攻击的时间线如下：

• 2019 年12 月 17 日：Citrix披露了 CVE-2019-19781，补丁不可用，但供应商发布了缓解措施以防止攻击。
• 2020 年1 月 10 日：概念验证漏洞利用代码在 GitHub 上发布。
• 2020 年1 月 11 日：美国人口普查局 Citrix 服务器遭到攻击。
• 2020 年1 月 13 日：美国人口普查局防火墙阻止攻击者与其远程命令和控制 (C&C) 服务器进行通信。
• 2020 年1 月 15 日：美国人口普查局收到一份恶意 IP 地址列表，这些地址被用来进行漏洞利用。
• 2020 年1 月 16 日：美国人口普查局的安全团队收到 CISA 的通知，称其服务器被黑客入侵，并要求该机构进行调查。
• 2020 年1 月 28 日：美国人口普查局运行脚本并确认其 Citrix 系统遭到黑客攻击。
• 2020 年1 月 31 日：美国人口普查局收到第二份 CISA 请求，以调查被黑服务器。
• 2020 年2 月 5 日：美国人口普查局确认有更多服务器遭到黑客攻击。