AnyDesk bugün, bilgisayar korsanlarının şirketin üretim sistemlerine erişmesine olanak tanıyan yakın zamanda gerçekleşen bir siber saldırıya uğradığını doğruladı. BleepingComputer, saldırı sırasında kaynak kodu ve özel kod imzalama anahtarlarının çalındığını öğrendi.
AnyDesk, kullanıcıların bilgisayarlara ağ veya internet üzerinden uzaktan erişmesine olanak tanıyan bir uzaktan erişim çözümüdür. Program, onu uzaktan destek için veya ortak konumdaki sunuculara erişmek için kullanan kuruluşlar arasında oldukça popülerdir.
Yazılım aynı zamanda onu ihlal edilen cihazlara ve ağlara kalıcı erişim için kullanan tehdit aktörleri arasında da popülerdir.
Şirketin 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS ve Birleşmiş Milletler dahil 170.000 müşterisi olduğu bildiriliyor.
AnyDesk saldırıya uğradı
Cuma günü öğleden sonra BleepingComputer ile paylaşılan bir açıklamada AnyDesk, saldırıyı ilk olarak ürün sunucularında bir olaya dair belirtiler tespit ettikten sonra öğrendiklerini söyledi.
Bir güvenlik denetimi yaptıktan sonra sistemlerinin güvenliğinin ihlal edildiğini belirlediler ve siber güvenlik firması CrowdStrike’ın yardımıyla bir müdahale planını etkinleştirdiler.
AnyDesk, saldırı sırasında verilerin çalınıp çalınmadığına ilişkin ayrıntıları paylaşmadı. Ancak BleepingComputer, tehdit aktörlerinin kaynak kodunu ve kod imzalama sertifikalarını çaldığını öğrendi.
Şirket ayrıca saldırının fidye yazılımı içermediğini doğruladı ancak sunucularının ihlal edildiğini söylemek dışında saldırı hakkında çok fazla bilgi paylaşmadı ve tavsiyede esas olarak saldırıya nasıl tepki verdiklerine odaklanıldı.
AnyDesk, yanıtlarının bir parçası olarak güvenlikle ilgili sertifikaları iptal ettiklerini ve sistemleri gerektiği gibi düzelttiklerini veya değiştirdiklerini söyledi. Ayrıca müşterilere AnyDesk’in kullanımının güvenli olduğu ve son kullanıcı cihazlarının olaydan etkilendiğine dair hiçbir kanıt bulunmadığı konusunda güvence verildi.
AnyDesk, kamuya yaptığı açıklamada, “Durumun kontrol altında olduğunu ve AnyDesk’i kullanmanın güvenli olduğunu doğrulayabiliriz. Lütfen yeni kod imzalama sertifikasına sahip en son sürümü kullandığınızdan emin olun.” dedi.
Şirket hiçbir kimlik doğrulama jetonunun çalınmadığını söylese de, AnyDesk tedbir amaçlı olarak web portalındaki tüm şifreleri iptal ediyor ve şifrenin başka sitelerde kullanılması durumunda değiştirilmesini öneriyor.
Saldırıyla ilgili sorularımıza yanıt olarak BleepingComputer’a yanıt veren AnyDesk, “AnyDesk, oturum kimlik doğrulama belirteçlerinin çalınamayacağı şekilde tasarlandı. Bunlar yalnızca son kullanıcının cihazında bulunur ve cihazın parmak iziyle ilişkilendirilir. Bu belirteçler asla sistemlerimize dokunmaz.” dedi. .
“Bildiğimiz kadarıyla bunun mümkün olmadığı konusunda oturum ele geçirmeye dair hiçbir belirtimiz yok.”
Şirket, çalınan kod imzalama sertifikalarını değiştirmeye başladı; BornCity’den Günter Born, ilk olarak 29 Ocak’ta yayınlanan AnyDesk 8.0.8 sürümünde yeni bir sertifika kullandıklarını bildirdi. Yeni sürümde listelenen tek değişiklik, şirketin yeni bir kod imzalama sertifikasına geçmesi ve yakın zamanda eskisini iptal etmesi.
BleepingComputer, yazılımın önceki sürümlerine baktı ve eski yürütülebilir dosyalar, 0dbf152deaf0b981a8a938d53f769db8 seri numarasıyla ‘philandro Software GmbH’ adı altında imzalandı. Yeni sürüm artık aşağıda gösterildiği gibi 0a8177fcd8936a91b5e0eddf995b0ba5 seri numarasıyla ‘AnyDesk Software GmbH’ adı altında imzalanmıştır.
Kaynak: BleepingComputer
Sertifikalar, saldırılarda çalınma veya kamuya ifşa edilme gibi bir riske maruz kalmadıkları sürece genellikle geçersiz kılınmaz.
AnyDesk, ihlalin ne zaman meydana geldiğini paylaşmasa da Born, AnyDesk’in 29 Ocak’tan itibaren dört günlük bir kesinti yaşadığını ve bu süre zarfında şirketin AnyDesk istemcisinde oturum açma olanağını devre dışı bıraktığını bildirdi.
AnyDesk durum mesajı sayfasında “my.anydesk II şu anda bakıma giriyor ve bu bakımın önümüzdeki 48 saat veya daha kısa süre devam etmesi bekleniyor” yazıyor.
“Hesabınıza normal şekilde erişmeye ve onu kullanmaya devam edebilirsiniz. Bakım tamamlandıktan sonra AnyDesk istemcisinde oturum açma işlemi geri yüklenecektir.”
Dün erişim yeniden sağlandı ve kullanıcıların hesaplarına giriş yapmasına izin verildi, ancak AnyDesk bakımla ilgili herhangi bir neden belirtmedi.
AnyDesk, BleepingComputer’a bu bakımın siber güvenlik olayıyla ilgili olduğunu doğruladı.
Eski kod imzalama sertifikası yakında iptal edileceğinden tüm kullanıcıların yazılımın yeni sürümüne geçmesi önemle tavsiye edilir.
Ayrıca AnyDesk, saldırıda şifrelerin çalınmadığını söylese de tehdit aktörleri üretim sistemlerine erişim elde etti, bu nedenle tüm AnyDesk kullanıcılarının şifrelerini değiştirmeleri önemle tavsiye ediliyor. Ayrıca AnyDesk şifresini başka sitelerde kullanıyorlarsa orada da değiştirmeleri gerekmektedir.
Her hafta, tanınmış şirketlere karşı yeni bir ihlal öğreniyormuşuz gibi geliyor.
Dün gece Cloudflare, Şükran Günü’nde geçen yılın Okta siber saldırısı sırasında çalınan kimlik doğrulama anahtarlarını kullanarak saldırıya uğradıklarını açıkladı.
Geçtiğimiz hafta Microsoft, Mayıs ayında da HPE’ye saldıran Midnight Blizzard adlı Rus devlet destekli bilgisayar korsanları tarafından saldırıya uğradıklarını açıklamıştı.