AnyDesk 遭攻击源代码和私钥被盗！立即更新！

本周六凌晨远程桌面软件 AnyDesk发布安全公告，确认其公司服务器遭到网络攻击，攻击者窃取了部分源代码和代码签名密钥。根据Shodan搜索结果，美国和中国的AnyDesk端点最多，全球受影响的AnyDesk远程桌面分布如下（7070端口）：

AnyDesk 是一款流行的远程桌面解决方案，常用于企业 IT 管理和远程文件访问。此次攻击事件引发了众多安全焦虑，尤其是该软件（与TeamViewer类似）在勒索软件和APT等黑客群体中颇受欢迎，常被用于恶意持久化访问。

AnyDesk 公司在声明中表示，他们在发现服务器系统异常后第一时间启动了安全响应计划，并与网络安全公司 CrowdStrike 合作进行调查。目前尚不清楚攻击者是否窃取了用户数据，但 BleepingComputer 证实了源代码和代码签名证书的泄露。

值得庆幸的是，此次攻击并非勒索软件感染，也没有证据表明用户终端设备受到影响。AnyDesk 已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件(上图)。

AnyDesk在声明中宣称：

“我们的系统设计为不存储可被用来连接最终用户设备的私钥、安全令牌或密码。作为预防措施，我们将撤销门户网站 my.anydesk.com 的所有密码，并且如果在其他地方使用相同的凭据，我们建议用户更改密码。“

缓解措施

以下为AnyDesk用户需注意的安全要点：

• 立即更新至最新版本 AnyDesk，新版本使用新的代码签名证书，旧版本证书即将被吊销。
• 重设 AnyDesk 账户密码，即使官方表示密码未被窃取，出于谨慎考虑仍建议更改密码。
• 若 AnyDesk 密码与其他网站通用，务必在其他平台也进行密码更改。
• 启用双因素认证（2FA）为账户添加额外的安全保护。
• 保持警惕，避免点击可疑链接或打开未知文件。

安全研究人员Florian Roth发布了一个YARA规则检测受损的AnyDesk签名证书二进制文件：https://github.com/Neo23x0/signature-base/blob/master/yara/gen_anydesk_compromised_cert_feb23.yar

截至发稿，根据参与事件调查的网络安全研究人员哈蒙德发布的更新：1.新的AnyDesk代码签名证书是最新版本。 2 客户数据不受影响，AnyDesk 应用程序正常，没有更新或代码被篡改。

AnyDesk是2024年继微软、惠普之后第三家曝出严重安全事件的知名IT企业，且性质极为严重。该事件提醒我们网络安全工作的重要性、艰巨性和复杂性，即便是知名IT企业（产品）也会成为攻击目标，并快速波及全球供应链上的大量企业。

参考链接：

https://anydesk.com/en/public-statement