AnyDesk is een populaire software die wordt gebruikt als remote desktop applicatie. Het Duitse bedrijf werd helaas in december gehackt en dat kwam begin februari 2024 aan het licht.
De AnyDesk productieservers kregen te maken met een beveiligingsincident. Deze security breach had tot gevolg dat cybercriminelen toegang kregen tot productiesystemen, broncode en ondertekeningssleutels voor privécodes.
AnyDesk bevestigde de hack, maar ze scheppen (vooralsnog) niet heel veel duidelijkheid over wat het gevaar en de kwetsbaarheden concreet (kunnen) betekenen. Ze beweren in elk geval dat het geen afpersingspoging (ransomware) betrof, dat er geen kwaadaardige code gedistribueerd werd naar klanten en dat er geen gebruikersgegevens gestolen werden.
Desalniettemin, werden gebruikers aangemaand hun AnyDesk-versie te updaten en hun gebruikersgegevens met spoed aan te passen. De certificaten die werden gebruikt om de vorige versies te ondertekenen, werden ingetrokken.
AnyDesk heeft zo’n 170.000 klanten en ook enkele AXS Guard klanten zijn gebruiker van de software.
Dit voorval deed één van onze klanten inzien dat het gebruik van zulke software niet risicoloos is. Toegang van buitenaf op PC’s en dus je bedrijfsomgeving toelaten, is nu eenmaal niet per se een veilige keuze.
De policy van bij de klant werd aangepast en de klant deed beroep op AXS Guard om te kijken hoe de risicovolle software geweerd kan worden uit hun omgeving.
Hoe los je dit op?
De AXS Guard experts staken de koppen bij elkaar en voerden enkele snelle en effectieve aanpassingen door.
1. IBM
QRadar EDR
Mits een DeStra (Detection Strategy) kan er met scripting een policy aangemaakt worden op elke endpoint. Bij het gebruik van AnyDesk zal de opstart van de software onmiddellijk gestopt worden.
De gebruiker krijgt een melding dat de software niet geopend mag worden volgens de company policy. De system administrators zien op hun beurt op het dashboard dat er een poging werd gedaan om AnyDesk op te starten.
2. AXS Guard - SecureDNS
Via de AXS Guard Cloud werd een webfilter URL-lijst aangemaakt om deze snel te verdelen over alle AXS Guards appliances.
Deze kan geconfigureerd worden in de DNS-filter om elke verbinding met AnyDesk te blokkeren en hiervan logs bij te houden op het DNS Security dashboard in de AXS Guard Cloud.
3. AXS Guard - Firewall
In het onwaarschijnlijke scenario dat er na deze twee maatregelen toch nog een verbinding met de AnyDesk servers tot stand komt, dan wordt er bij elke verbinding een certificaat inspectie uitgevoerd.
Er wordt dan telkens gekeken of het AnyDesk certificaat wordt aangeroepen. Ook dit zal de verbinding onmiddellijk sluiten.
Conclusie
Dankzij de expertise en flexibiliteit van het AXS Guard team, moest de klant zich geen zorgen meer maken. We raden aan om kritisch te kijken naar alle tools en software die in aanraking komen met je bedrijfsnetwerk. Het AnyDesk incident is immers slechts een concreet voorbeeld, maar een goede cyber hygiëne houdt in dat je alle zaken op je netwerk zorgvuldig monitort en dat je de betrouwbaarheid nagaat van de applicaties die gebruikt worden.
Hoe betrouwbaar zijn de online applicaties die in je bedrijfsnetwerk gebruikt worden?