AnyDesk a confirmé aujourd’hui avoir subi une récente cyberattaque qui a permis aux pirates d’accéder aux systèmes de production de l’entreprise. Breachtrace a appris que le code source et les clés de signature de code privées avaient été volés lors de l’attaque.
AnyDesk est une solution d’accès à distance qui permet aux utilisateurs d’accéder à distance à des ordinateurs via un réseau ou Internet. Le programme est très populaire auprès des entreprises, qui l’utilisent pour l’assistance à distance ou pour accéder à des serveurs colocalisés.
Le logiciel est également populaire parmi les acteurs de la menace qui l’utilisent pour un accès persistant aux appareils et réseaux piratés.
La société déclare avoir 170 000 clients, dont 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS et les Nations Unies.
AnyDesk piraté
Dans une déclaration partagée avec Breachtrace vendredi en fin d’après-midi, AnyDesk dit qu’ils ont d’abord appris l’attaque après avoir détecté des indications d’un incident sur leurs serveurs de production.
Après avoir effectué un audit de sécurité, ils ont déterminé que leurs systèmes étaient compromis et ont activé un plan de réponse avec l’aide de la société de cybersécurité CrowdStrike.
AnyDesk n’a pas précisé si des données avaient été volées lors de l’attaque. Cependant, Breachtrace a appris que les acteurs de la menace ont volé du code source et des certificats de signature de code.
La société a également confirmé que les ransomwares n’étaient pas impliqués, mais n’a pas partagé trop d’informations sur l’attaque, si ce n’est que leurs serveurs ont été piratés, l’avis se concentrant principalement sur la manière dont ils ont réagi à l’incident.
Dans le cadre de sa réponse, AnyDesk indique avoir révoqué les certificats liés à la sécurité et corrigé ou remplacé les systèmes si nécessaire. Ils ont également rassuré les clients sur le fait qu’AnyDesk pouvait être utilisé en toute sécurité et qu’il n’y avait aucune preuve que les appareils des utilisateurs finaux aient été affectés par l’incident.
« Nous pouvons confirmer que la situation est sous contrôle et qu’il est sûr d’utiliser AnyDesk. Veuillez vous assurer que vous utilisez la dernière version, avec le nouveau certificat de signature de code », a déclaré AnyDesk dans une déclaration publique.
Bien que la société affirme qu’aucun jeton d’authentification n’a été volé, par prudence, AnyDesk révoque tous les mots de passe de son portail Web et suggère de changer le mot de passe s’il est utilisé sur d’autres sites.
« AnyDesk est conçu de manière à ce que les jetons d’authentification de session ne puissent pas être volés. Ils n’existent que sur l’appareil de l’utilisateur final et sont associés à l’empreinte digitale de l’appareil. Ces jetons ne touchent jamais nos systèmes », a déclaré AnyDesk à Breachtrace en réponse à nos questions sur l’attaque.
« Nous n’avons aucune indication de détournement de session à notre connaissance, ce n’est pas possible. »
La société a déjà commencé à remplacer les certificats de signature de code volés, Günter Born of BornCity signalant pour la première fois qu’ils utilisent un nouveau certificat dans AnyDesk version 8.0.8, publié le 29 janvier. Le seul changement répertorié dans la nouvelle version est que l’entreprise est passée à un nouveau certificat de signature de code et révoquera bientôt l’ancien.
Breachtrace a examiné les versions précédentes du logiciel et les anciens exécutables ont été signés sous le nom de « philandro Software GmbH » avec le numéro de série 0dbf152deaf0b981a8a938d53f769db8. La nouvelle version est maintenant signée sous « AnyDesk Software GmbH », avec un numéro de série de 0a8177fcd8936a91b5e0eddf995b0ba5, comme indiqué ci-dessous.
Les certificats ne sont généralement pas invalidés à moins qu’ils n’aient été compromis, par exemple volés lors d’attaques ou exposés publiquement.
Bien qu’AnyDesk n’ait pas partagé au moment de la violation, Born a signalé qu’AnyDesk avait subi une panne de quatre jours à partir du 29 janvier, au cours de laquelle l’entreprise avait désactivé la possibilité de se connecter au client AnyDesk.
« mon.anydesk II est actuellement en cours de maintenance, qui devrait durer au maximum 48 heures », indique la page de message d’état d’AnyDesk.
« Vous pouvez toujours accéder à votre compte et l’utiliser normalement. La connexion au client AnyDesk sera restaurée une fois la maintenance terminée. »
Hier, l’accès a été rétabli, permettant aux utilisateurs de se connecter à leurs comptes, mais AnyDesk n’a fourni aucune raison pour la maintenance dans les mises à jour de statut.
Cependant, AnyDesk a confirmé à Breachtrace que cette maintenance est liée à l’incident de cybersécurité.
Il est fortement recommandé à tous les utilisateurs de passer à la nouvelle version du logiciel, car l’ancien certificat de signature de code sera bientôt révoqué.
De plus, bien qu’AnyDesk affirme que les mots de passe n’ont pas été volés lors de l’attaque, les auteurs de la menace ont eu accès aux systèmes de production, il est donc fortement conseillé à tous les utilisateurs d’AnyDesk de changer leurs mots de passe. De plus, s’ils utilisent leur mot de passe AnyDesk sur d’autres sites, ils doivent également y être modifiés.
Chaque semaine, on a l’impression d’apprendre une nouvelle violation contre des entreprises bien connues.
La nuit dernière, Cloudflare a révélé qu’ils avaient été piratés le jour de Thanksgiving à l’aide de clés d’authentification volées lors de la cyberattaque Okta des dernières années.
La semaine dernière, Microsoft a également révélé qu’ils avaient été piratés par des pirates informatiques parrainés par l’État russe, Midnight Blizzard, qui avaient également attaqué HPE en mai.