Бюро переписи населения США взломали в январе 2020 года с помощью эксплойта Citrix

30
Программа-вымогатель шифрует всю сеть Министерства юстиции ЮАР

Серверы Бюро переписи населения США были взломаны 11 января 2020 года хакерами после эксплуатации незащищенной уязвимости Citrix ADC нулевого дня, как сообщило в недавнем отчете Управление генерального инспектора США (OIG).

«Эти серверы предназначены для предоставления Бюро возможностей удаленного доступа для персонала предприятия, чтобы получить доступ к производственным, опытно-конструкторским и лабораторным сетям. По словам персонала системы, эти серверы не обеспечивали доступ к сетям переписи населения, рассчитанным на десятилетие 2020 года», – говорится в сообщении. Сказал OIG .

«Во время атаки на серверы удаленного доступа брандмауэры Бюро заблокировали попытки злоумышленника установить связь с серверов удаленного доступа с его инфраструктурой управления и контроля еще 13 января 2020 года.

«Однако Бюро не знало о взломе серверов до 28 января 2020 года, то есть более чем через 2 недели».

Атака только частично успешна

Хотя злоумышленники смогли взломать серверы Бюро и создать поддельные учетные записи администраторов, которые позволили бы им удаленно выполнять вредоносный код, они не могли развернуть бэкдоры для поддержания доступа к серверам и достижения своих целей.

По данным OIG, Бюро не смогло устранить критическую уязвимость, использованную при атаке, в результате чего его серверы остались уязвимыми.

После того, как их серверы были скомпрометированы, Бюро также не смогло вовремя обнаружить атаку и сообщить о ней. Он также не вёл достаточное количество системных журналов, что затрудняло расследование инцидента.

«Поскольку Бюро переписи и OIG пришли к выводу после этого инцидента, не было никаких признаков компрометации каких-либо систем Десятилетней переписи 2020 года, а также каких-либо свидетельств злонамеренного поведения, влияющих на подсчет Десятилетия 2020 года», – ответила OIG на обзор инцидента.

«Кроме того, никакие системы или данные, поддерживаемые и управляемые Бюро переписи населения от имени общественности, не были скомпрометированы, подделаны или утеряны из-за инцидента, описанного в отчете OIG».

Злоумышленники воспользовались критической уязвимостью Citrix

В то время как отчет OIG был отредактирован, чтобы удалить все упоминания об эксплуатируемой уязвимости и имя поставщика программного обеспечения, ответ Бюро переписи населения на запросы OIG, касающиеся атаки, остался нетронутым, и выяснилось, что отредактированным поставщиком является Citrix.

«В связи с обстоятельствами, не зависящими от Бюро – в том числе зависимостью от инженеров Citrix (которые уже были на полную мощность, поддерживая клиентов в федеральном правительстве, которые осознали более серьезные последствия атаки в январе 2020 года), чтобы завершить миграцию, и пандемия COVID-19 – перенос был отложен », – сказали в бюро.

Это, в сочетании с упоминанием OIG о том, что уязвимость была обнаружена 17 декабря 2019 г., позволило точно определить ее как CVE-2019-19781 , критическую ошибку, влияющую на контроллер доставки приложений Citrix (ADC), шлюз и SD-WAN WANOP. бытовая техника.

Успешная эксплуатация CVE-2019-19781 может позволить удаленным злоумышленникам выполнить произвольный код на непропатченных серверах и получить доступ к внутренней сети организации без необходимости аутентификации.

Эксплуатируемая ошибка Citrix все еще активно эксплуатируется

Citrix выявила уязвимость в системе безопасности и предоставила меры по ее устранению 17 декабря 2020 года, а 24 января 2021 года выпустила обновления безопасности для устранения уязвимости для всех затронутых продуктов.

Однако экспериментальные эксплойты для CVE-2019-19781 были обнародованы через два дня после того, как 8 января было обнаружено сканирование уязвимых серверов Citrix .

Злоумышленники воспользовались случаем и начали атаковать непропатченные серверы Citrix, а исследователи безопасности наблюдали, как они развертывают вредоносное ПО на скомпрометированных серверах, включая полезные нагрузки программ-вымогателей Sodinokibi и Ragnarok .

В феврале банда вымогателей DoppelPaymer также использовала ту же ошибку, чтобы взломать сеть Bretagne Télécom, частной французской компании облачного хостинга и корпоративных телекоммуникаций.

С тех пор CVE-2019-19781 был включен ФБР в свой список основных целевых уязвимостей за последние два года, а АНБ – в пятерку основных уязвимостей, которыми активно злоупотребляют спонсируемые Россией государственные хакеры .

Правительственные рекомендации, в которых упоминается CVE-2019-19781, включают: Смягчение CVE-2019-19781 , APT29 нацелено на разработку вакцины COVID-19 , а также обнаружение и предотвращение вредоносных программ Web Shell .

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here