ABD Sayım Bürosu Sunucuları, 11 Ocak 2020'de ihlal edildi, Citrix ADC sıfır gün güvenlik açığını, ABD Müfettişi Genel Müfettiş Ofisi (OIG) açık son bir raporda açıklanan bilgisayar korsanları tarafından ihlal edildi.
"Bu sunucuların amacı, işletme personelinin üretim, geliştirme ve laboratuar ağlarına erişme konusunda uzaktan erişim yetenekleri ile büro sağlamaktı. Sistem personeline göre, bu sunucular 2020 on yıllık nüfus sayımı ağlarına erişim sağlamadı" OIG dedi.
"Uzaktan Erişim Sunucularına Saldırı sırasında, Büro'nun güvenlik duvarı saldırganın uzaktan erişim sunucularından komuta ve kontrol altyapısından 13 Ocak 2020 kadar erken iletişim kurma girişimlerini engelledi.
"Ancak, Büro, sunucuların 28 Ocak 2020'ye kadar 3 Ocak, 2 haftadan daha sonra tehlikeye atıldığını bilmiyordu."
Saldırganlar, Büro'nun sunucularını ihlal edebildiler ve kötü amaçlı kodları uzaktan yürütmelerini sağlayacak Rogue Yönetici Hesapları kurdular, sunuculara erişimi korumak ve hedeflerine ulaşmak için arka kapsamları dağıtamazlardı.
OIG'ye göre, Büro, saldırıda sömürülen eleştirel güvenlik açığını azaltamadı, sunucularını savunmasız bıraktı.
Sunucuları tehlikeye atıldıktan sonra, Büro da zamanında saldırıyı keşfedememiş ve rapor veremedi. Ayrıca, olayı soruşturmayı engelleyen yeterli sistem günlüğünü korumamıştır.
"Nüfus Sayımı Bürosu ve OG'nin bu olayı takiben sonuçlandığı sonucuna vardıkça, herhangi bir 2020 on yıllık nüfus sayımı sisteminde ya da 2020 on yıllık sayımı etkileyen kötü amaçlı davranışların herhangi bir kanıtı yoktu" dedi.
"Ayrıca, OIG'nin raporunda vurgulanan olay nedeniyle, halk adına nüfus sayım bürosu tarafından tutulan ve yönetilen hiçbir sistem veya veri tehlikeye girmedi."
ABD Sayım Bürosu sözcüsü, BleepingComputer'a, Ajans'ın yorum için temasa geçtiğinde OIG'nin raporuna cevabını görmesini ve saldırı vektörünü belirlemek için gereken bilgileri, Büro'nun sunucularını tehlikeye atmak için kullanılan bilgileri bulduğumuz yer.
OIG'nin raporu, sömürülen güvenlik açığı ve yazılım satıcısının adını ortadan kaldırmak için raporu reddettiğinde, Sayım Bürosu'nun OIG'nin saldırıyı çevreleyen sorgulamalarına cevabı, redrakted satıcısının Citrix olduğunu ortaya çıkardı.
"Büro'nun kontrolü dışındaki koşullar nedeniyle, Citrix mühendislerine bir bağımlılık da dahil olmak üzere (zaten, 2020 Ocak saldırısından daha büyük etkilerden oluşan müşterileri destekleyen kapasitede olan kapasitede) ve Covid-19 pandemiğini tamamlamak için Büro, göç ertelendi, "dedi.
Bu, MS 16 Aralık 2019'da açıklanmıştır. ev aletleri.
Başarılı CVE-2019-19781 sömürüsü, uzak saldırıların, açılmamış sunucularda keyfi kod çalıştırmalarını ve bir kuruluşun dahili ağına kimlik doğrulama gerektirmeden erişebilmelerini sağlayabilir.
Citrix, Güvenlik Kusurunu açıkladı ve 17 Aralık 2019'da Mitigasyonları açıkladı ve 24 Ocak 2020'de etkilenen tüm ürünler için hitap etmek için güvenlik güncellemelerini yayınladı.
Bununla birlikte, CVE-2019-19781 için CVE-2019-19781 için kavram kanıtı, 8 Ocak'ta savunmasız Citrix sunucuları tespit edildi.
Tehdit aktörleri vesileyle atladı ve GENİŞLETMEYEN CARTRIX sunucularına saldırmaya başladı, güvenlik araştırmacıları, Sodinokibi ve Ragnarok Ransomware yükleri de dahil olmak üzere kötü amaçlı yazılımları gözetendir.
Doppelpaymer Ransomware Gang ayrıca Şubat ayında aynı hatayı, Bretagne Télécom'un ağını, özel bir Fransız bulut barındırma ve kurumsal telekomünikasyon şirketi olan ağını ihlal etmek için de aynı hatayı kullanıyor.
O zamandan beri, CVE-2019-19781, FBI tarafından son iki yılın en iyi amaçlı güvenlik açıkları listesinde ve NSA tarafından, Rus destekli devlet bilgisayar korsanları tarafından aktif olarak kötüye kullanılan en iyi beş güvenlik açıklığında bulundu.
CVE-2019-19781'den bahsedilen devlet danışmaları şunlardır: CVE-2019-19781'i azaltın, APT29, Covid-19 aşı gelişimini hedef alır ve web shell kötü amaçlı yazılımları tespit eder ve önler.
T-Mobile, bilgisayar korsanlarının 48,6 milyon kişiye ait kayıtları çaldığını söyledi
T-Mobile, sunucuların saldırıya uğradığını onaylar, veri ihlalini araştırır
En büyük şifreleme arkasındaki hacker Heist, çalınan fonları iade ediyor
T-Mobile Veri İhlali daha da kötüye gitti - şimdi 54 milyon müşterisinde
AT & T, Hacker Açık Artırmaları 70 Milyon Kullanıcı Veritabanı'ndan sonra veri ihlalini reddetti
Kaynak: Bleeping Computer