AnyDesk Hacklendi , bilgisayar korsanlarının üretim sunucularını ihlal ettiğini ve şifreleri sıfırladığını söyledi
AnyDesk bugün, bilgisayar korsanlarının şirketin üretim sistemlerine erişim sağlamasına olanak tanıyan yeni bir siber saldırıya uğradığını doğruladı. BleepingComputer, saldırı sırasında kaynak kodunun ve özel kod imzalama anahtarlarının çalındığını öğrendi.
AnyDesk, kullanıcıların bilgisayarlara bir ağ ya da internet üzerinden uzaktan erişebilmelerini sağlayan bir uzaktan erişim çözümüdür. Program, uzaktan destek için ya da ortak kullanılan sunuculara erişmek için kullanan kurumlar arasında oldukça popülerdir.
Yazılım, ihlal edilen cihazlara ve ağlara kalıcı erişim için kullanan tehdit aktörleri arasında da popülerdir.
Şirket, aralarında 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS ve Birleşmiş Milletler’in de bulunduğu 170.000 müşteriye sahip olduğunu bildiriyor.
Anydesk Hacklendi
Cuma günü öğleden sonra BleepingComputer ile paylaşılan bir açıklamada AnyDesk, saldırıyı ilk olarak üretim sunucularında bir olayın belirtilerini tespit ettikten sonra öğrendiklerini söylüyor.
Bir güvenlik denetimi gerçekleştirdikten sonra, sistemlerinin tehlikeye girdiğini belirlediler ve siber güvenlik firması CrowdStrike’ın yardımıyla bir müdahale planını etkinleştirdiler.
AnyDesk, saldırı sırasında verilerin çalınıp çalınmadığına ilişkin ayrıntıları paylaşmadı. Ancak BleepingComputer, tehdit aktörlerinin kaynak kodu ve kod imzalama sertifikalarını çaldığını öğrendi.
Şirket ayrıca fidye yazılımının söz konusu olmadığını doğruladı, ancak sunucularının ihlal edildiğini söylemek dışında saldırı hakkında çok fazla bilgi paylaşmadı ve tavsiye esas olarak olaya nasıl yanıt verdiklerine odaklandı.
Yanıtlarının bir parçası olarak AnyDesk, güvenlikle ilgili sertifikaları iptal ettiklerini ve gerektiğinde sistemleri düzelttiklerini veya değiştirdiklerini söylüyor. Ayrıca müşterilere AnyDesk’in kullanımının güvenli olduğu ve son kullanıcı cihazlarının olaydan etkilendiğine dair herhangi bir kanıt bulunmadığı konusunda güvence verdiler.
“Durumun kontrol altında olduğunu ve AnyDesk’i kullanmanın güvenli olduğunu teyit edebiliriz. Lütfen yeni kod imzalama sertifikasına sahip en son sürümü kullandığınızdan emin olun,” dedi.
Şirket kimlik doğrulama belirteçlerinin çalınmadığını söylese de, AnyDesk tedbir amacıyla web portalına ait tüm şifreleri iptal ediyor ve başka sitelerde kullanılıyorsa şifrenin değiştirilmesini öneriyor.
“AnyDesk, oturum kimlik doğrulama belirteçlerinin çalınamayacağı şekilde tasarlanmıştır. Bunlar yalnızca son kullanıcının cihazında bulunur ve cihazın parmak iziyle ilişkilendirilir. Bu belirteçler sistemlerimize asla temas etmez,” dedi AnyDesk saldırı hakkındaki sorularımıza yanıt olarak BleepingComputer’a.
“Bildiğimiz kadarıyla bu mümkün olmadığından, oturum ele geçirmeye dair hiçbir belirtimiz yok.”
Şirket çalınan kod imzalama sertifikalarını değiştirmeye başladı bile; BornCity’den Günter Born ilk olarak 29 Ocak’ta yayınlanan AnyDesk 8.0.8 sürümünde yeni bir sertifika kullandıklarını bildirdi. Yeni sürümde listelenen tek değişiklik, şirketin yeni bir kod imzalama sertifikasına geçmesi ve eskisini yakında iptal edecek olması.
BleepingComputer yazılımın önceki sürümlerine baktı ve eski yürütülebilir dosyalar 0dbf152deaf0b981a8a938d53f769db8 seri numarasıyla ‘philandro Software GmbH’ adı altında imzalanmıştı. Yeni sürüm artık aşağıda gösterildiği gibi 0a8177fcd8936a91b5e0eddf995b0ba5 seri numarasıyla ‘AnyDesk Software GmbH’ adı altında imzalanmıştır.
Sertifikalar, saldırılarda çalınmaları ya da kamuya açık hale gelmeleri gibi tehlikeye girmedikleri sürece genellikle geçersiz kılınmazlar.
AnyDesk ihlalin ne zaman gerçekleştiğini paylaşmamış olsa da Born, AnyDesk’in 29 Ocak’tan itibaren dört günlük bir kesinti yaşadığını ve bu süre zarfında şirketin AnyDesk istemcisinde oturum açma özelliğini devre dışı bıraktığını bildirdi.
AnyDesk durum mesajı sayfasında “my.anydesk II şu anda önümüzdeki 48 saat veya daha kısa sürmesi beklenen bir bakım sürecinden geçmektedir” ifadesi yer almaktadır.
“Hesabınıza normal şekilde erişmeye ve kullanmaya devam edebilirsiniz. Bakım tamamlandığında AnyDesk istemcisinde oturum açma geri yüklenecektir.”
Dün erişim yeniden sağlandı ve kullanıcıların hesaplarına giriş yapmalarına izin verildi, ancak AnyDesk durum güncellemelerinde bakım için herhangi bir neden belirtmedi.
Ancak AnyDesk, BleepingComputer’a bu bakımın siber güvenlik olayıyla ilgili olduğunu doğruladı.
Eski kod imzalama sertifikası yakında iptal edileceğinden, tüm kullanıcıların yazılımın yeni sürümüne geçmeleri şiddetle tavsiye edilmektedir.
Ayrıca, AnyDesk saldırıda şifrelerin çalınmadığını söylese de, tehdit aktörleri üretim sistemlerine erişim sağladı, bu nedenle tüm AnyDesk kullanıcılarının şifrelerini değiştirmeleri şiddetle tavsiye edilir. Ayrıca, AnyDesk şifrelerini başka sitelerde kullanıyorlarsa, oralarda da değiştirmeleri gerekir.
Her hafta, tanınmış şirketlere karşı yeni bir ihlal öğreniyoruz gibi geliyor.
Dün gece Cloudflare, geçen yıl Okta siber saldırısı sırasında çalınan kimlik doğrulama anahtarları kullanılarak Şükran Günü’nde saldırıya uğradıklarını açıkladı.
Geçtiğimiz hafta Microsoft da Mayıs ayında HPE’ye de saldıran Midnight Blizzard adlı Rus devlet destekli bilgisayar korsanları tarafından saldırıya uğradıklarını açıkladı.