AnyDesk afirma que hackers invadiram seus servidores e redefiniram senhas

Notícia traduzida de: BleepingComputer

A AnyDesk confirmou hoje que sofreu um ataque cibernético recente que permitiu que hackers obtivessem acesso aos sistemas de produção da empresa. A BleepingComputer soube que o código-fonte e as chaves de assinatura de código privado foram roubados durante o ataque.

O AnyDesk é uma solução de acesso remoto que permite aos utilizadores acederem remotamente a computadores através de uma rede ou da Internet. O programa é muito popular entre as empresas, que o utilizam para suporte remoto ou para aceder a servidores localizados.

O software também é popular entre os agentes de ameaças que o utilizam para acesso persistente a dispositivos e redes violados.

A empresa informa ter 170 000 clientes, incluindo a 7-Eleven, a Comcast, a Samsung, o MIT, a NVIDIA, a SIEMENS e as Nações Unidas.

AnyDesk hackeado

Numa declaração partilhada com a BleepingComputer no final da tarde de sexta-feira, a AnyDesk diz que tomou conhecimento do ataque depois de detetar indícios de um incidente nos seus servidores de produção.

Depois de realizar uma auditoria de segurança, determinaram que os seus sistemas estavam comprometidos e ativaram um plano de resposta com a ajuda da empresa de cibersegurança CrowdStrike.

A AnyDesk não partilhou detalhes sobre se os dados foram roubados durante o ataque. No entanto, a BleepingComputer soube que os agentes da ameaça roubaram o código-fonte e os certificados de assinatura de código.

A empresa também confirmou que o ransomware não estava envolvido, mas não partilhou demasiadas informações sobre o ataque para além de dizer que os seus servidores foram violados, com o aviso a centrar-se principalmente na forma como responderam ao incidente.

Como parte da sua resposta, a AnyDesk afirma ter revogado os certificados relacionados com a segurança e remediado ou substituído os sistemas, conforme necessário. Também garantiram aos clientes que a utilização do AnyDesk era segura e que não havia provas de que os dispositivos dos utilizadores finais tivessem sido afectados pelo incidente.

“Podemos confirmar que a situação está sob controlo e que é seguro utilizar o AnyDesk. Certifique-se de que está a utilizar a versão mais recente, com o novo certificado de assinatura de código”, afirmou a AnyDesk numa declaração pública.

Embora a empresa afirme que não foram roubados quaisquer tokens de autenticação, por precaução, a AnyDesk está a revogar todas as palavras-passe do seu portal Web e sugere a alteração da palavra-passe se esta for utilizada noutros sites.

“O AnyDesk foi concebido de forma a que os tokens de autenticação de sessão não possam ser roubados. Existem apenas no dispositivo do utilizador final e estão associados à impressão digital do dispositivo. Esses tokens nunca entram em contato com nossos sistemas”, disse AnyDesk ao BleepingComputer em resposta às nossas perguntas sobre o ataque.

“Não temos qualquer indicação de sequestro de sessão, uma vez que, tanto quanto sabemos, tal não é possível.”

A empresa já começou a substituir os certificados de assinatura de código roubados, com Günter Born da BornCity relatando pela primeira vez que eles estão usando um novo certificado na versão 8.0.8 do AnyDesk, lançada em 29 de janeiro. A única mudança listada na nova versão é que a empresa mudou para um novo certificado de assinatura de código e vai revogar o antigo em breve.

O BleepingComputer analisou as versões anteriores do software, e os executáveis mais antigos foram assinados sob o nome ‘philandro Software GmbH’ com o número de série 0dbf152deaf0b981a8a938d53f769db8. A nova versão está agora assinada sob o nome ‘AnyDesk Software GmbH’, com um número de série de 0a8177fcd8936a91b5e0eddf995b0ba5, como mostrado abaixo.

Assinatura AnyDesk 8.0.6 (left) vs AnyDesk 8.0.8 (right)
Fonte: BleepingComputer

Normalmente, os certificados não são invalidados, a menos que tenham sido comprometidos, por exemplo, roubados em ataques ou expostos publicamente.

Embora a AnyDesk não tenha divulgado quando ocorreu a violação, Born informou que a AnyDesk sofreu uma interrupção de quatro dias a partir de 29 de janeiro, durante a qual a empresa desactivou a capacidade de iniciar sessão no cliente AnyDesk.

“O my.anydesk II está atualmente em manutenção, que deverá durar as próximas 48 horas ou menos”, lê-se na página da mensagem de estado do AnyDesk.

“Ainda pode aceder e utilizar a sua conta normalmente. O login no cliente AnyDesk será restaurado assim que a manutenção for concluída.”

Ontem, o acesso foi restaurado, permitindo que os utilizadores iniciassem sessão nas suas contas, mas o AnyDesk não forneceu qualquer motivo para a manutenção nas actualizações de estado.

No entanto, AnyDesk confirmou ao BleepingComputer que esta manutenção está relacionada com o incidente de cibersegurança.

Recomenda-se vivamente que todos os utilizadores mudem para a nova versão do software, uma vez que o antigo certificado de assinatura de código será revogado em breve.

Além disso, embora a AnyDesk afirme que as palavras-passe não foram roubadas no ataque, os autores da ameaça obtiveram acesso aos sistemas de produção, pelo que se recomenda vivamente que todos os utilizadores do AnyDesk alterem as suas palavras-passe. Além disso, se a senha do AnyDesk for usada em outros sites, ela também deve ser alterada.

Se você deseja bloquear o AnyDesk na sua rede, fale agora com a VNX Partners. Clique aqui e saiba mais.