AnyDesk confirmó hoy (febrero) que sufrió un reciente ciberataque que permitió a piratas informáticos acceder a los sistemas de producción de la empresa. BleepingComputer se enteró de que durante el ataque se robaron el código fuente y las claves de firma de código privado.
AnyDesk es una solución de acceso remoto que permite a los usuarios acceder de forma remota a computadoras a través de una red o Internet. El programa es muy popular entre las empresas, que lo utilizan para soporte remoto o para acceder a servidores ubicados.
El software también es popular entre los atacantes que lo utilizan para acceder persistentemente a dispositivos y redes vulneradas.
La empresa informa tener 170.000 clientes, incluidos 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas.
AnyDesk hackeado
En una declaración compartida con BleepingComputer el viernes por la tarde, AnyDesk dice que se enteraron del ataque por primera vez después de detectar indicios de un incidente en sus servidores de producción.
Después de realizar una auditoría de seguridad, determinaron que sus sistemas estaban comprometidos y activaron un plan de respuesta con la ayuda de la firma de ciberseguridad CrowdStrike.
AnyDesk no compartió detalles sobre si se robaron datos durante el ataque. Sin embargo, BleepingComputer se enteró de que los atacantes robaron el código fuente y los certificados de firma de código.
La compañía también confirmó que el ransomware no estuvo involucrado, pero no compartió demasiada información sobre el ataque, aparte de decir que sus servidores fueron violados, y el aviso se centró principalmente en cómo respondieron al incidente.
Como parte de su respuesta, AnyDesk dice que revocaron certificados relacionados con la seguridad y remediaron o reemplazaron sistemas según fue necesario. También aseguraron a los clientes que AnyDesk era seguro de usar y que no había evidencia de que los dispositivos de los usuarios finales se vieran afectados por el incidente.
"Podemos confirmar que la situación está bajo control y que es seguro utilizar AnyDesk. Asegúrese de estar utilizando la última versión, con el nuevo certificado de firma de código", dijo AnyDesk en una declaración pública.
Si bien la compañía dice que no se robaron tokens de autenticación, por precaución, AnyDesk está revocando todas las contraseñas de su portal web y sugiere cambiar la contraseña si se usa en otros sitios.
"AnyDesk está diseñado de manera que los tokens de autenticación de sesión no puedan ser robados. Sólo existen en el dispositivo del usuario final y están asociados con la huella digital del dispositivo. Estos tokens nunca tocan nuestros sistemas", dijo AnyDesk a BleepingComputer en respuesta a nuestras preguntas sobre el ataque.
"No tenemos indicios de secuestro de sesión; hasta donde sabemos, esto no es posible".
La compañía ya ha comenzado a reemplazar los certificados de firma de código robados, y Günter Born de BornCity informó por primera vez que están utilizando un nuevo certificado en la versión 8.0.8 de AnyDesk, lanzada el 29 de enero. El único cambio enumerado en la nueva versión es que la empresa cambió a un nuevo certificado de firma de código y pronto revocará el anterior.
BleepingComputer analizó versiones anteriores del software y los ejecutables más antiguos estaban firmados con el nombre 'philandro Software GmbH' con el número de serie 0dbf152deaf0b981a8a938d53f769db8. La nueva versión ahora está firmada bajo 'AnyDesk Software GmbH', con un número de serie 0a8177fcd8936a91b5e0eddf995b0ba5, como se muestra a continuación.
Por lo general, los certificados no se invalidan a menos que hayan sido comprometidos, como por ejemplo, si han sido robados en ataques o expuestos públicamente.
Si bien AnyDesk no había compartido cuándo ocurrió la infracción, Born informó que AnyDesk sufrió una interrupción de cuatro días a partir del 29 de enero, durante el cual la compañía deshabilitó la capacidad de iniciar sesión en el cliente AnyDesk.
"my.anydesk II se encuentra actualmente en mantenimiento, que se espera que dure las próximas 48 horas o menos", se lee en la página del mensaje de estado de AnyDesk.
"Aún puede acceder y utilizar su cuenta normalmente. El inicio de sesión en el cliente AnyDesk se restaurará una vez que se complete el mantenimiento".
Ayer se restableció el acceso, lo que permitió a los usuarios iniciar sesión en sus cuentas, pero AnyDesk no proporcionó ningún motivo para el mantenimiento en las actualizaciones de estado.
Sin embargo, AnyDesk ha confirmado a BleepingComputer que este mantenimiento está relacionado con el incidente de ciberseguridad.
Se recomienda encarecidamente que todos los usuarios cambien a la nueva versión del software, ya que el antiguo certificado de firma de código pronto será revocado.
Además, aunque AnyDesk dice que las contraseñas no fueron robadas en el ataque, los actores de la amenaza obtuvieron acceso a los sistemas de producción, por lo que se recomienda encarecidamente que todos los usuarios de AnyDesk cambien sus contraseñas. Además, si utilizan su contraseña de AnyDesk en otros sitios, también deberían cambiarla allí.
Fuente: AnyDesk says hackers breached its production servers, reset passwords (bleepingcomputer.com)
¿Le ha sido útil este artículo?
¡Qué bien!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Sus comentarios se han enviado
Agradecemos su esfuerzo e intentaremos corregir el artículo