AnyDesk 遭到黑客攻击是今天发布的公告,揭露了最近渗透到该公司生产系统的网络攻击。 此次泄露导致源代码和私有代码签名密钥被盗。
AnyDesk 的软件因允许用户通过网络或互联网远程访问计算机而闻名,不仅是远程支持和管理托管服务器的企业的首选,而且也是寻求持续访问受感染设备和网络的网络犯罪分子的首选。
该公司的客户群包括 7-11、康卡斯特、三星、麻省理工学院、NVIDIA、西门子和联合国等知名品牌,在全球拥有超过 170,000 名客户。
AnyDesk 是如何被黑客入侵的
周五下午晚些时候,AnyDesk 与 电脑发出蜂鸣声,通过在生产服务器上观察到的异常活动,揭示了 AnyDesk 被黑客入侵的初步迹象。 在 CrowdStrike 网络安全专家的支持下,进行了全面的安全分析,证实了其系统遭到破坏,从而推动了详细响应计划的实施。
尽管 AnyDesk 没有提供数据泄露的详细说明, 电脑发出蜂鸣声 披露称,肇事者携带源代码和代码签名证书潜逃。 该公司进一步解释说,勒索软件不是这次网络攻击的组成部分,而是选择专注于概述他们的响应工作,而不深入研究网络攻击方法的细节。
针对这一事件,AnyDesk 采取了重大措施,使受损的安全证书失效,并恢复或替换受影响的系统。 为了向用户保证软件的完整性,AnyDesk 声明 AnyDesk 被黑客攻击事件后,最终用户设备不存在明显风险。
AnyDesk 坚称没有任何身份验证令牌被泄露; 然而,作为预防措施,该公司正在撤销其门户网站的所有密码,并建议用户更改密码(如果在其他地方使用相同的密码)。
“AnyDesk 的设计方式使得会话身份验证令牌无法被窃取。 它们仅存在于最终用户的设备上并与设备指纹相关联。 这些令牌永远不会接触我们的系统。 我们没有任何迹象表明会话劫持,据我们所知,这是不可能的。”AnyDesk 说道 电脑发出蜂鸣声。
BornCity 的 Günter Born 强调,更新到新代码签名证书的过程已经在进行中,他指出在 1 月 29 日发布的 AnyDesk 版本 8.0.8 中引入了新证书。 此次更新主要包括向新代码签名证书的过渡,并打算很快撤销之前的证书。
关于每一个细节 Equifax 数据泄露扩展
早期的软件版本以及旧的可执行文件已通过“philandro Software GmbH”的验证,序列号为 0dbf152deaf0b981a8a938d53f769db8。 相比之下,最新版本带有“AnyDesk Software GmbH”签名,可通过新序列号 0a8177fcd8936a91b5e0eddf995b0ba5 进行识别,强调了现有的安全措施。
除非发生泄露,例如网络攻击期间被盗或意外泄露,否则证书通常保持有效。 尽管 AnyDesk 没有具体说明泄露的具体时间,但 Born 强调,从 1 月 29 日开始,服务出现了为期四天的严重中断。 在此期间,AnyDesk 禁用了客户端的登录功能,建议立即采取措施减轻违规影响。
“my.anydesk II 目前正在进行维护,预计将持续 48 小时或更短的时间。 您仍然可以正常访问和使用您的帐户。 维护完成后将恢复登录AnyDesk客户端。” 指出 AnyDesk 状态消息页面。
昨天,该平台的访问权限已恢复,允许用户在 AnyDesk 被黑事件后再次登录其帐户。 虽然该公司最初没有在状态更新中具体说明维护原因,但他们后来向 BleepingComputer 证实,这与解决网络安全漏洞直接相关。
AnyDesk 被黑事件发生后,强烈建议所有用户过渡到该软件的新版本,特别是因为旧的代码签名证书即将被撤销。 此外,尽管 AnyDesk 保证密码在泄露期间不会直接泄露,但对生产系统的未经授权的访问引发了重大的安全问题。 因此,AnyDesk 用户应谨慎行事,立即更改其密码,并在使用相同密码的其他网站上类似地更新其凭据。
此事件是针对知名公司的网络攻击这一令人担忧的趋势的一部分。 值得注意的是,Cloudflare 披露了感恩节发生的漏洞,该漏洞与去年 Okta 网络攻击期间被盗的身份验证密钥有关。 此外,微软最近披露了俄罗斯国家资助的名为 Midnight Blizzard 的黑客的入侵,该黑客也在 5 月份针对 HPE 发起了攻击,这说明了威胁的持续性和复杂性
特色图片来源: 詹姆斯·哈里森/Unsplash