AnyDesk zhakowany – popularne oprogramowanie do zdalnego pulpitu wymaga resetu hasła

kapitanhack.pl 9 miesięcy temu

Producent systemu do zdalnego pulpitu AnyDesk ujawnił w piątek, iż padł ofiarą cyberataku, który doprowadził do naruszenia bezpieczeństwa jego systemów produkcyjnych.

Niemiecka firma stwierdziła, iż incydent, który wykryła w wyniku audytu bezpieczeństwa, nie jest atakiem typu ransomware i iż powiadomiła odpowiednie władze.

„Unieważniliśmy wszystkie certyfikaty związane z bezpieczeństwem, a w niektórych przypadkach wymieniliśmy systemy” – stwierdziła firma w oświadczeniu. „Wkrótce unieważnimy poprzedni certyfikat podpisywania kodu dla naszych plików binarnych i już zaczęliśmy zastępować go nowym”.

Ze względów ostrożności AnyDesk unieważniło także wszystkie hasła do swojego portalu internetowego my.anydesk[.]com i nalega, aby użytkownicy zmienili swoje hasła, jeżeli te same zostały ponownie użyte w innych usługach online.

Zaleca się również, by użytkownicy pobrali najnowszą wersję oprogramowania, która jest dostarczana z nowym certyfikatem do podpisywania kodu.

AnyDesk nie ujawniło, kiedy i w jaki sposób doszło do naruszenia jego systemów produkcyjnych. w tej chwili nie wiadomo, czy w wyniku włamania skradziono jakiekolwiek informacje. Podkreślono jednak, iż nie ma dowodów na to, by zagrożenie miało wpływ na jakiekolwiek systemy użytkowników końcowych.

Na początku tego tygodnia Günter Born z BornCity ujawnił, iż od 29 stycznia AnyDesk było w fazie konserwacji. Problem został rozwiązany 1 lutego. Wcześniej, 24 stycznia, firma dzięki swoich komunikatów powiadamiała również użytkowników o „sporadycznych przekroczeniach limitu czasu” i „pogorszeniu jakości usług”.

AnyDesk może pochwalić się ponad 170 000 klientami, w tym LG Electronics, Samsung Electronics, Spidercam i Thales.

Ujawnienie nastąpiło dzień po stwierdzeniu przez Cloudflare, iż doszło do naruszenia przez podejrzanego atakującego z grup APT, który wykorzystał skradzione dane uwierzytelniające w celu uzyskania nieautoryzowanego dostępu do serwera Atlassian i ostatecznie uzyskania dostępu do części dokumentacji i ograniczonej ilości kodu źródłowego.

Firma Resecurity zajmująca się cyberbezpieczeństwem zadeklarowała, iż znalazła dwóch cyberprzestępców, z których jeden występuje pod pseudonimem internetowym „Jobaaaaa”, reklamując „znaczną liczbę danych uwierzytelniających klientów AnyDesk na sprzedaż w Exploit[.]in”, zauważając, iż można je wykorzystać do „wsparcia technicznego” oszustwa i phishingu. Przypominamy, iż są to dane do uwierzytelnienia do portalu klienckiego.

Stwierdzono, iż ugrupowanie zagrażające oferuje 18 317 kont za 15 000 dolarów w kryptowalutach, a także zgadza się na transakcję za pośrednictwem depozytu na forum cyberprzestępczości.

„W szczególności znaczniki czasu widoczne na udostępnionych przez aktora zrzutach ekranu ilustrują pomyślny nieautoryzowany dostęp z dnia 3 lutego 2024 r. (ujawnienie po incydencie)” – podała firma. „Możliwe, iż nie wszyscy klienci zmienili swoje dane uwierzytelniające lub mechanizm ten przez cały czas był stosowany przez zainteresowane strony”.

Nie jest jasne, w jaki sposób uzyskano dane uwierzytelniające, ale Resecurity twierdzi, iż cyberprzestępcy mogą działać teraz w pośpiechu, aby jak najszybciej zarobić na dostępnych danych, biorąc pod uwagę fakt, iż hasła można zresetować.

Idź do oryginalnego materiału