Günlerdir yaptığımız araştırmalar ve gelen haberler maalesef doğru çıktı. AnyDesk’in sistemleri hacklendi.
Bu noktadan sonra tüm AnyDesk sürümleri kullanılmamalıdır.
Saldırı geçmişi
25 Ocak 2024’te bir kaynağımdan aldığım bilgiler AnyDesk’in sürekli olarak bağlantı sorunları verdiğini. Ayrıca, lisans anahtarlarını birdenbire kabul etmemeye başladığı gibi sorunlardan bahsetti. Bu bende büyük bir şüphe yaratmıştı. 30 Ocak 2024 tarihinde ise AnyDesk’in web sitesi aniden bakım moduna alındı ve erişim kesildi.
AnyDesk nedir?
AnyDesk hepimizin bildiği ve kullandığı uzak bağlantı yapmanızı sağlayan bir araç . Ürün, eski TeamViewer çalışanları tarafından geliştirildi ve uzun süre bu ürünün bir alternatifi olarak kabul edildi. AnyDesk, birçok şirket tarafından kullanılırken, dünya genelinde toplamda 170.000 kullanıcısı olduğu tahmin ediliyor. Kullanıcıları arasında 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS ve Birleşmiş Milletler gibi isimlerden de bahsediliyor. AnyDesk ayrıca bazı ürünlere entegre edilmiş durumda.
Hack’e dair ilk belirtiler
AnyDesk’in kritik ortamlarda artık kullanılmaması gerektiği konusunda 2 Şubat 2024’te bir yazı yayınlamıştık. https://www.cozumpark.com/anddesk-kullanicilarina-uyari-uzaktan-destek-yaziliminda-guvenlik-sorunu-var/
Son iki günde, birkaç farklı kaynaktan bana ulaşan çeşitli bilgiler şüphelerimi arttırmıştı. Ve AnyDesk’in, 29 Ocak 2024’te AnyDesk client sürümü 8.0.8 için kullanılan sertifikaların değiştiği ortaya çıktı.
Bununla birlikte öğrendiğim bir diğer şey de Almanya’daki bir kaynağımdan Federal Bilgi Güvenliği Ofisi (BSI)’nin bu hafta kritik altyapı operatörlerlerine bir uyarı gönderdiği ancak bunu yalnızca çok kısıtlı bir grup insanın görebilmesi ve hiçbir koşulda paylaşamaması için bir TLP sınıflandırması eklediği ortaya çıktı.
AnyDesk saldırıyı doğruladı
AnyDesk tarafından birkaç saat yapılan siber saldırıyı doğruladı.
Ocak 2024’te yaşanan olaylar?
Olay raporu herhangi bir tarih içermiyor, ancak bilgilerime göre gözden geçirme muhtemelen 29 veya 30 Ocak 2024 tarihinde başlatıldı, bu da 30 Ocak 2024 tarihinde başlayan bakım aşamasına denk gelmekte. AnyDesk, hemen CrowdStrike’in siber güvenlik uzmanlarını içeren bir iyileştirme ve yanıt planını devreye soktuğunu belirtiyor.
Bakım tamamlandı, yetkililere bilgi verildi
Rapor aynı zamanda iyileştirme planının başarıyla tamamlandığını belirtiyor. İlgili otoriteler bilgilendirildi ve şirket otoritelerle yakın bir şekilde çalışıyor. Şirket, bu olayın hala bir fidye yazılımı olmadığını inkar ediyor.
Sertifikalar ve şifreler iptal edildi
AnyDesk olayın ardından tüm güvenlikle ilgili sertifikaları iptal etti ve hacklenen sistemleri değiştirdi. Bu, sistemlerin günlerce süren bakım modunu açıklıyor. AnyDesk, kod imzalama sertifikasının kısa süre içinde iptal edileceğini ve AnyDesk’in bunun yerine yeni bir taneyle değiştirdiğini belirtiyor. Bu, 29 Ocak 2024 tarihli AnyDesk client sürümünün yeni bir sertifika ile imzalandığı doğruluyor.
Kullanıcı şifreleri değiştirilmeli
Olay raporunda AnyDesk, “Önlem olarak, my.anydesk.com web portalı için tüm şifreleri iptal ettik ve kullanıcılara, aynı giriş bilgilerini başka bir yerde kullanıyorlarsa şifrelerini değiştirmelerini öneriyoruz.” diyor.
Sömürü belirtileri yok mu?
AnyDesk, bu olayla ilgili olarak, şu ana kadar son cihazların etkilendiğine dair herhangi bir işaret olmadığını yazıyor. Durumun kontrol altında olduğunu ve AnyDesk’in güvenli bir şekilde kullanılabileceğini doğrulayabiliyorlar. Kullanıcıların, yeni kod imzalama sertifikası ile en son sürümü kullandıklarından emin olmaları gerekiyor.
AnyDesk, sistemlerin, son kullanıcı cihazlarına bağlanmak için sömürülebilecek özel anahtarları, güvenlik belgelerini veya şifreleri saklamak için tasarlanmadığını belirtiyor.
Son sözler
Benim görüşüm AnyDeskin kesinlikle kritik ortamlarda kullanılmaması. Ancak Ülkemizde hemen hemen herde kullanılmakta. Bunun nedeni ücretsiz ve kolay kullanımı olması ancak ilerde yaşanacak büyük bir felaket yıkıcı olabilir bu nedenle özellikle uzak bağlantılarda globalde kendini kanıtlamış, güvenliği tüm çevreler tarafından kabul görmüş güvenli uzaktan erişim yazılımlarını kullanılmasının gerektiği
Kolaylıklar.
Merhaba, group policy ile ya da başka bir şekilde anydesk programını nasıl uninstall ederiz?
https://www.cozumpark.com/server-2019-group-policy-ile-yazilim-kaldirma-gpo-software-uninstall/