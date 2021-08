Citrix-servers van het Amerikaanse Census Bureau, dat verantwoordelijk is voor de volkstelling in het land, zijn begin 2020 via een publiek bekende exploit gecompromitteerd. De inbraak werd echter niet tijdig ontdekt en gemeld. Daarnaast liet de overheidsinstantie op verschillende andere vlakken steken vallen, zo stelt de auditdienst van het Amerikaanse ministerie van Handel in een uitgebreid onderzoeksrapport.

Citrix waarschuwde op 17 december 2019 voor een kwetsbaarheid in de Application Delivery (ADC) Controller en Citrix Gateway en kwam met mitigatiemaatregelen. Het Census Bureau werd hier ook op gewezen, maar de maatregelen werden niet doorgevoerd. Op 11 januari werden de Citrix-servers van het Census Bureau aangevallen. Volgens de auditdienst was de aanval deels succesvol. Zo wist de aanvaller gebruikersaccounts aan te passen. Het installeren van een backdoor werd echter door de firewall geblokkeerd. Ook bleek dat het Census Bureau de Citrix-servers niet geregeld op kwetsbaarheden controleerde, ook al is dit wel beleid van het ministerie.

De inbraak op de servers werd meer dan twee weken later op 28 januari ontdekt. De vertraging deed zich volgens de auditdienst voor omdat het Census Bureau geen security information en event management (SIEM)-tool gebruikte om responders voor verdacht netwerkverkeer te waarschuwen. Het Security Operations Center (SOC) ging daarnaast in de fout met het analyseren van ip-adressen waarvandaan de Citrix-exploit werd uitgevoerd. Op 15 januari ontving het SOC een lijst met ip-adressen van aanvallers, maar het SOC kwam ten onrechte tot de conclusie dat er geen succesvolle aanvallen hadden plaatsgevonden.

Op 31 januari voerde het Census Bureau op verzoek van het Cybersecurity and Infrastructure Security Agency (CISA) een script uit om andere Citrix-servers te controleren. Daaruit bleek dat die ook waren gecompromitteerd. Hoewel het beleid van het ministerie en het Census Bureau verplichten om beveiligingsincidenten binnen een uur te melden, werd de aanval pas op 5 februari gerapporteerd. Het Census Bureau beschikte daarnaast over onvoldoende systeemlogs, wat het onderzoek hinderde.

De auditdienst stelde verder vast dat het Census Bureau geen "lessons-learned" sessie uitvoerde om van het incident te leren, zodat processen kunnen worden verbeterd. Als laatste kritiekpunt laat de auditdienst weten dat het Census Bureau de originele Citrix-servers die bij het incident betrokken waren begin dit jaar nog steeds in gebruik had, ook al was de software inmiddels end-of-life en niet meer ondersteund door de leverancier. Naar aanleiding van de bevindingen heeft de auditdienst negen aanbevelingen gedaan.