导语:强烈建议所有 AnyDesk 用户更改密码,切换到新版本的软件。
AnyDesk 是一种远程访问解决方案,允许用户通过互联网远程访问计算机,企业一般使用它来提供远程支持或访问托管服务器,威胁组织通常使用它来持续访问受破坏的设备和网络。其拥有 170,000 名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子等。
最近,AnyDesk遭受了网络攻击,源代码和私有代码签名密钥在攻击期间被盗。黑客得以访问公司的生产系统。
AnyDesk 遭遇攻击
AnyDesk 表示,他们在检测到生产服务器异常后首次了解到此次攻击。 在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司的帮助下启动了响应计划。
AnyDesk 证实勒索软件并未参与其中,除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,也没有透露有关攻击期间数据是否被盗的详细信息。
作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统,向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备会受到该事件的影响。
AnyDesk 在一份公开声明中表示:“我们确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。”
虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议更改在其他网站上使用的密码。
该公司已经开始替换被盗的代码签名证书,他们正在 1 月 29 日发布的 AnyDesk 8.0.8 版本中使用新证书。
该软件的早期版本,较旧的可执行文件以“philandro Software GmbH”的名称进行签名,序列号为 0dbf152deaf0b981a8a938d53f769db8。新版本现已在“AnyDesk Software GmbH”下签名,序列号为0a8177fcd8936a91b5e0eddf995b0ba5,如下所示:
已签名的 AnyDesk 8.0.6(左)与 AnyDesk 8.0.8(右)
证书通常不会失效,除非它们受到损害,例如在攻击中被盗或公开暴露。
虽然 AnyDesk 没有透露泄露发生的时间,但 Born 报告称,AnyDesk 从 1 月 29 日开始经历了四天的宕机,在此期间该公司无法登录 AnyDesk 客户端。
AnyDesk 状态消息页面上写道:“my.anydesk II 目前正在进行维护,预计维护时间将持续 48 小时或更短时间。 ”
目前,访问权限已恢复,允许用户登录自己的帐户,但 AnyDesk 没有在状态更新中表明任何维护原因。
但AnyDesk已证实,本次维护与网络安全事件有关。
此外,虽然 AnyDesk 表示密码并未在攻击中被盗,但威胁组织确实获得了生产系统的访问权限,因此强烈建议所有 AnyDesk 用户更改密码,切换到新版本的软件,因为旧的代码签名证书很快就会被撤销。
文章翻译自:https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/如若转载,请注明原文地址