Хакеры атаковали Бюро переписи населения США с помощью уязвимости в Citrix

Серверы Бюро переписи населения США (United States Census Bureau) были взломаны 11 января 2020 года хакерами в результате эксплуатации критической уязвимости дня ( CVE-2019-19781 ) в Citrix Application Delivery Controller (ADC).

CVE-2019-19781 представляет собой критическую уязвимость в Citrix ADC, Gateway и SD-WAN WANOP. Успешная эксплуатация проблемы может позволить удаленным злоумышленникам выполнить произвольный код на серверах и получить доступ к внутренней сети организации без необходимости аутентификации.

«Во время атаки на серверы удаленного доступа межсетевые экраны Бюро заблокировали попытки злоумышленника установить связь со своим C&C-сервером еще 13 января 2020 года. Однако Бюро не знало о взломе серверов до 28 января 2020 года, то есть более 2 недель», — сообщило в недавнем отчете Управление генерального инспектора США (Office of Inspector General, OIG).

Хотя злоумышленники смогли взломать серверы Бюро и создать поддельные учетные записи администраторов, которые позволили бы им удаленно выполнять вредоносный код, они не могли установить бэкдоры для поддержания доступа к серверам и достижения своих целей. После того, как серверы были скомпрометированы, Бюро также не смогло вовремя обнаружить атаку и сообщить о ней. Расследование инцидента было замедлено из-за недостаточного количества системных логов.

По словам представителей OIG, никакие данные, поддерживаемые и управляемые Бюро переписи населения, не были скомпрометированы, подделаны или потеряны в результате инцидента.

Citrix выявила уязвимость в системе безопасности и предоставила меры по ее устранению 17 декабря 2019 года, а 24 января 2020 года выпустила обновления безопасности, устраняющее проблему.