Anydesk bugün, bilgisayar korsanlarının şirketin üretim sistemlerine erişmesine izin veren yeni bir siber saldırıya maruz kaldığını doğruladı. BleepingComputer, saldırı sırasında kaynak kodu ve özel kod imzalama anahtarlarının çalındığını öğrendi.
AnyDesk, kullanıcıların bilgisayarlara bir ağ veya internet üzerinden uzaktan erişmesine izin veren bir uzaktan erişim çözümüdür. Program, uzaktan destek için veya Colocated sunucularına erişmek için kullanan işletme arasında çok popülerdir.
Yazılım, ihlal edilen cihazlara ve ağlara kalıcı erişim için kullanan tehdit aktörleri arasında da popülerdir.
Şirket, 7-Eleven, Comcast, Samsung, MIT, Nvidia, Siemens ve Birleşmiş Milletler dahil 170.000 müşteriye sahip olduğunu bildirdi.
Cuma öğleden sonra BleepingComputer ile paylaşılan bir açıklamada, Anydesk, üretim sunucularındaki bir olayın belirtilerini tespit ettikten sonra saldırıyı ilk kez öğrendiklerini söyledi.
Bir güvenlik denetimi yaptıktan sonra, sistemlerinin tehlikeye atıldığını belirlediler ve siber güvenlik firması Crowdstrike'in yardımıyla bir yanıt planı etkinleştirdiler.
Anydesk, saldırı sırasında verilerin çalınıp çalınmadığına dair ayrıntıları paylaşmadı. Bununla birlikte, BleepingComputer, tehdit aktörlerinin kaynak kodu ve kod imzalama sertifikalarını çaldığını öğrendi.
Şirket ayrıca fidye yazılımlarının dahil olmadığını doğruladı, ancak saldırı hakkında sunucularının ihlal edildiğini söylemek dışında çok fazla bilgi paylaşmadığını ve danışma ile olaya nasıl yanıt verdiklerine odaklandığını doğruladı.
Yanıtlarının bir parçası olarak, Anydesk, güvenlik ile ilgili sertifikaları iptal ettiklerini ve gerektiğinde sistemleri düzelttiklerini veya değiştirdiklerini söylüyor. Ayrıca müşterilere Anydesk'in kullanımı güvenli olduğundan ve son kullanıcı cihazlarının olaydan etkilendiğine dair bir kanıt bulunmadığına dair güvence verdiler.
Anydesk, "Durumun kontrol altında olduğunu ve AnyDesk'i kullanmanın güvenli olduğunu doğrulayabiliriz. Lütfen yeni kod imzalama sertifikasıyla en son sürümü kullandığınızdan emin olun." Dedi.
Şirket, hiçbir kimlik doğrulama jetonunun çalınmadığını söylerken, dikkatsizce, Anydesk tüm şifreleri web portalına iptal ediyor ve diğer sitelerde kullanılıyorsa şifreyi değiştirmeyi öneriyor.
"Anydesk, oturum kimlik doğrulama jetonlarının çalınamayacağı bir şekilde tasarlanmıştır. Sadece son kullanıcının cihazında varlar ve cihaz parmak izi ile ilişkilidirler. Bu jetonlar sistemlerimize asla dokunmazlar," dedi Anydesk, saldırı hakkındaki sorularımıza yanıt olarak BleepingComputer'a verdiği demeçte .
Diyerek şöyle devam etti: "Bildiğimiz kadarıyla oturum kaçırma konusundaki hiçbir göstergemiz yok."
Şirket, çalıntı kod imzalama sertifikalarını değiştirmeye başlamıştı, Günter BornCity'den doğdu, önce 29 Ocak'ta yayınlanan Anydesk sürüm 8.0.8'de yeni bir sertifika kullandıklarını bildirdi. Yeni sürümde listelenen tek değişiklik, şirketin yeni bir kod imzalama sertifikasına geçmesi ve eskisini yakında iptal etmesidir.
BleepingComputer, yazılımın önceki sürümlerine baktı ve eski yürütülebilir dosyalar 'Philandro Software GmbH' adı altında 0DBF152EEAL0B981A8A938D53F769DB8 ile imzalandı. Yeni sürüm artık aşağıda gösterildiği gibi 0A8177FCD8936A91B5E0EDDF995B0BA5 seri numarası ile 'AnyDesk Software GmbH' altında imzalanmıştır.
Sertifikalar, saldırılarda çalınma veya kamuya açık olarak maruz kalma gibi tehlikeye girmedikçe genellikle geçersiz kılınmaz.
Anydesk, ihlal meydana geldiğinde paylaşılmamış olsa da, Born 29 Ocak'tan itibaren dört günlük bir kesinti yaşadığını ve şirketin Anydesk müşterisine giriş yapabilme yeteneğini devre dışı bıraktığını bildirdi.
AnyDesk Durum Mesajı sayfasını "My My My My.ypydesk II, önümüzdeki 48 saat veya daha kısa sürede sürmesi beklenen bakım geçiriyor."
"Hesabınıza normal olarak erişebilir ve kullanabilirsiniz. AnyDesk istemcisine giriş yapmak, bakım tamamlandıktan sonra geri yüklenecektir."
Dün, erişim geri yüklendi ve kullanıcıların hesaplarına giriş yapmasına izin verdi, ancak AnyDesk durum güncellemelerindeki bakım için herhangi bir neden sağlamadı.
Ancak Anydesk, BleepingComputer'a bu bakımın siber güvenlik olayı ile ilgili olduğunu doğruladı.
Eski kod imzalama sertifikası yakında iptal edileceğinden, tüm kullanıcıların yazılımın yeni sürümüne geçmesi şiddetle tavsiye edilir.
Dahası, Anydesk saldırıda şifrelerin çalınmadığını söylerken, tehdit aktörleri üretim sistemlerine erişti, bu nedenle tüm Anydesk kullanıcılarının şifrelerini değiştirmeleri şiddetle tavsiye ediliyor. Ayrıca, diğer sitelerde AnyDesk şifrelerini kullanırlarsa, orada da değiştirilmelidir.
Her hafta, tanınmış şirketlere karşı yeni bir ihlal öğreniyormuşuz gibi geliyor.
Dün gece, Cloudflare, son yıllarda OKTA Cyberattack'da çalınan kimlik doğrulama anahtarları kullanılarak Şükran Günü'nde hacklendiklerini açıkladı.
Geçen hafta Microsoft, Mayıs ayında HPE'ye de saldıran Rus devlet destekli hackerlar tarafından hacklendiklerini açıkladı.
GTA 5 Kaynak Kodunun Rockstar Hack'ten bir yıl sonra çevrimiçi sızdığı bildirildi
Lurie Çocuk Hastanesi Sistemleri Sistemleri Çevrimdışı Aldı Siber Saldırı
Johnson Controls, fidye yazılımı saldırısının 27 milyon dolara mal olduğunu söylüyor.
Yanlış bir Github jetonu maruz kalan Mercedes-Benz kaynak kodu
KOBİ'ler siber saldırılar ve veri ihlalleri risklerini nasıl azaltabilir?
Kaynak: Bleeping Computer