情資卡編號: | TCCY-RCDC-400-202402-0000004
|
事件主旨: | 遠端存取解決方案AnyDesk發現遭駭客攻擊
|
內容說明: | AnyDesk是一種遠端存取解決方案,可讓使用者透過網路或網際網路遠端存取電腦,該程式非常受企業歡迎,企業使用它來提供遠端支援或存取託管伺服器,但過往亦曾發現遭駭客作為網路攻擊之用。
AnyDesk於2024年2月2日下午表示,在檢測到生產伺服器上發生事件的跡象後,確認已遭駭客攻擊,並在網路安全公司CrowdStrike的協助下啟動了復原計畫。AnyDesk並未透露有關攻擊期間資料是否被盜的詳細資訊,並澄清亦未遭到勒索軟體攻擊,除了表示伺服器遭到破壞之外,沒有透露太多有關此次攻擊的信息。
根據BleepingComputer報導,原始碼和私有程式碼簽署金鑰在攻擊期間可能遭竊取。AnyDesk於官網中說明截至目前為止,沒有證據顯示任何最終使用者設備受到了影響,已經確認情況受到控制,並且可以安全地使用AnyDesk。AnyDesk表示已撤銷與安全相關的憑證,包括入口網站my.anydesk.com的所有密碼,並根據需要修復或更換系統,建議所有AnyDesk使用者除了將軟體更新至最新版本外,並更改所有網站密碼。
1月29日發布的AnyDesk 8.0.8版本中使用新憑證,該版本中唯一列出的變化是該公司改用了新的程式碼簽署憑證,並已撤銷舊的憑證。BleepingComputer查看了該軟體的早期版本,較舊的可執行檔以「philandro Software GmbH」的名稱進行簽章,序號為 0dbf152deaf0b981a8a938d53f769db8,而新版本現已在「AnyDesk Software GmbH」下簽章,序號為0a8177fcd8936a91b5e0eddf995b0ba5。
另外,網路安全公司Resecurity於2月4日揭露,發現多個威脅參與者在網路犯罪論壇上出售洩漏的AnyDesk憑證存取權。其中一位化名「Jobaaaaa」的威脅行為者最初於2021年註冊了論壇帳戶,在著名的暗網論壇Exploit[.]in 上列出了超過18,000個AnyDesk客戶憑證以供出售。為了防止帳戶遭濫用,建議AnyDesk用戶盡快變更網站密碼。
|
風險等級: | 2
|
建議措施: | AnyDesk於官網中說明截至目前為止,沒有證據顯示任何使用者設備受到影響,並已經確認情況受到控制,可以安全地使用AnyDesk,但建議使用者實施以下措施: -確保使用的軟體為最新版本,目前最新版為AnyDesk 8.0.8。 -AnyDesk已撤銷入口網站my.anydesk.com的所有密碼,建議所有AnyDesk用戶更改所有網站密碼。
|
| 其他事件說明或版本更新資訊,請參閱官方網址說明︰ -https://anydesk.com/en/public-statement -https://anydesk.com/zht/latest-version -https://anydesk.com/zht/changelog/windows |