Ein kurzer Hinweis an IT-Supporter, die die Fernwartungssoftware AnyDesk für den Remote-Support einsetzen. Ich hatte vor einigen Tagen über Störungen berichtet (siehe Störung bei AnyDesk, jemand betroffen?). Echo aus der Blog-Leserschaft hier war "es gibt kein Problem, gehen sie weiter". Inzwischen läuft bei AnyDesk seit dem 30.1.2024 eine Maintenance. Nun tröpfeln vage Informationen bei mir ein. Nachtrag: Es scheint eine Informationssperre zu geben, so dass ich nicht an Details heran komme. Ergänzung: Der Hack und die kompromittierten Produktionssysteme sind bestätigt.
Anzeige
Die Informationen, die ich habe, lauten, dass es mit AnyDesk (und womöglich anderen Diensten wie Rust etc.) ein Problem gibt und was wackelt. Zudem gibt es aus einer Quelle die (momentan recht nebulös formulierte) Empfehlung, sehr genau zu schauen, wo man AnyDesk einsetzt (keinesfalls in KRITIS-Umgebungen).
Noch kenne ich keine Details, aber es soll "demnächst" eine Meldung kommen. Sobald ich näheres weiß und das Ganze öffentlich ist, werde ich berichten.
PS: Habe die Kommentierung hier gesperrt, die kann beim oben verlinkten Beitrag weiter laufen, sonst haben wir zwei Stränge, wo die Diskussion stattfindet.
PPS: Update 2.1.2024; 05:50 Uhr; Ich hoffe am heutigen 2. Februar 2024 auf Details und ein möglichst frühes (zugesagtes) Telefonat mit dem AnyDesk CEO Philipp Weiser.
Anzeige
Ergänzungen vom 2.2.2024; 12:36 Uhr: Nach zahlreichen (sehr nebulösen) Informationsbruchstücken – und einigen konkreten Beobachtungen aus der Leserschaft – ahne ich, was passiert sein könnte. Es bleibt von mir bei der Warnung, AnyDesk bis zur Klärung der Details – vorsorglich – nicht mehr einzusetzen und Systeme, bei denen das Produkt im Januar 2024 verwendet wurde, sehr genau zu beobachten (und ggf. auf Malware zu scannen).
Generell liegt so etwas wie ein "Deckel" (Informationssperre) auf der gesamten Geschichte. Keiner darf was sagen. Beim Telefonat mit einem BSI Pressesprecher wollte bzw. konnte man mir nicht mal einen Termin nennen, wann die Öffentlichkeit informiert wird.
Ich werde daher über das hinaus, was im oben verlinkten Beitrag von mir in den Kommentaren steht, auch keine weiteren Informationen mehr rausgeben, bis ich offizielle Informationen mit Details bekomme. Aus meinen Informationsbruchstücken kann ich nämlich nicht ableiten, wie gravierend die Auswirkungen sind. Klar ist laut Changelog, dass im AnyDesk Client 8.0.8 das digitale Zertifikat zur Codesignierung ausgetauscht wurde.
Und da sind wir bei dem, was mich in diesem Kontext stört bzw. interessiert und für die Leserschaft interessant ist: Wer und was könnte betroffen sein? Was können/sollen AnyDesk-Nutzer tun? Da tappe ich mangels Information im Dunkeln (und nehme den worst case an). Es stört mich schon, dass da bisher keine zeitnahen Warnungen veröffentlicht werden. Kann natürlich sein, dass der Zertifikatstausch vorsorglich passierte und man erst untersuchen will, ob es Relevanz hat. Nachtrag: Wenn es gut läuft kann ich heute (2.2.2024) noch was zu schreiben – mir sind Infos von AnyDesk versprochen worden.
Ergänzung: Nun ist es offiziell, AnyDesk wurde kompromittiert. Ich habe es im Beitrag AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen aufbreitet und plane einen Folgeartikel.
Ähnliche Artikel:
Was ist bei AnyDesk los? (März 2023)
AnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights
Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client …
AnyDesk und die Störungen: Es ist womöglich was im Busch
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese – Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen vom 5. Februar 2024 -Teil 8
Anzeige
Frage: Wo steht geschrieben, das man Anydesk nicht mehr in KRITIS-Umgebungen einsetzen sollte ?
Sollten in KRITIS-Bereichen überhaupt Remote-Dienste Verwendung finden?
In jedem Fall keine die über externe Server laufen.
Aber dann muß man ja wissen was man tut und kann nicht nur einfach ein paar Lizenzen kaufen, und vor allem bei Problemen auf einen anderen zeigen!
Günter hat wohl irgendwie Hintergrund-Infos bekommen, die er aber noch nicht veröffentlichen möchte/darf.
So eine Remote Software, die durch alle Firewalls durchtunneln kann, ist natürlich ein interessanter Angriffs-Punkt.
Natürlich würde ich so etwas, das seine Date n über externe Serverstrukturen schickt, niemals für Kritische Infrastruktur verwenden.
Wir haben ja gesehen was passiert als die Russen im Februar 22 einen Satelliten runtergeholt haben um die Ukraine zu stören, dabei nebenbei, kurzmal die Steuerung von 6000 Windkraftwerken hier abgeschaltet hatten..
Neulich haben sie vermutlich das GPS in Polen und der Ostsee gestört. (Was die Militärs nicht stört, aber die zivile Navigation.)
Ich bin bezüglich Details noch total blind, hab aber einen Hinweis bekommen, momentan vorsichtig zu sein. Mit der Beobachtung des erwähnten Lesers und dem Wissen, dass Rust Desk die Woche auch unter Beschuss war, kann man sich seines denken.
Offensichtlich ist nicht nur Anydesk betroffen!
Rustdesk hat vor 14 Stunden einen DDOS-Angriff gemeldet (https://github.com/rustdesk/rustdesk/issues/7027). Das Problem besteht weiterhin.
Lt. Github Seite (https://github.com/rustdesk) stehen die Free Public Server wohl bei Hetzner und in der Ukraine.
Anydesk läuft hier bisher einwandfrei.
Also ultra-VNC und eigenen Server oder per VPN?
Germany. Hetzner 2 vCPU / 4 GB RAM
Ukraine (Kyiv) dc.volia 2 vCPU / 4 GB RAM
das ist nicht viel, wenn ich das so mit Teamviewer vergleiche (die früher mal attraktive Preise hatten).
Aber besser als garnic und "gratis".
Mal beobachten.
Rustdesk kann man mit einem eigenen Server betreiben.
Sofern der Code nicht manipuliert wurde sollte das Thema damit doch durch sein.
Aber nichts genaues weis man nicht.
Anydesk kann man mit einen eigenen "Namensraum" betreiben und gleichzeitig den Zugriff so Beschränken das man nur von diesem Namensraum aus auch auf die Geräte zugreifen kann.
Somit verhindert man das irgendwelche dritten einen Verbindung zu Anydesk aufbauen können nur weil sie zufällig die Nummer kennen.
Am 21.Januar 2024 gab es auf allen Kontinenten für 1 Stunde und 59 Minuten einen Totalausfall bei Anydesk (Beginn aber schon am 20.1.).
siehe da (etwas runterscrollen, je 1 roter Balken zeitgleich auf allen Kontinenten und direkt davor je 1 gelber Balken):
status[.]anydesk[.]com
Beim "Customer Portal" gab es ab diesem Zeitpunkt 4 rote Balken. Wahrscheinlich weil alle gleichzeitig Support brauchten, weil nichts mehr ging.
Zeigt man mit der Maus auf das rote Kästchen in der kontinentalen Darstellung, dann steht da:
"Related: Emergency network maintenance"
Folgt man diesem Link, dann landet man da:
status[.]anydesk[.]com/incidents/fk5c1vvqyd7r
Da steht:
Investigating
Currently we're performing emergency network maintenance. Existing connections should not be affected, however new connections won't be possible. Our apologies for any inconvenience it might have caused.
Posted 12 days ago. Jan 20, 2024 – 23:48 UTC
Monitoring
A fix has been implemented and we are monitoring the results.
Posted 12 days ago. Jan 21, 2024 – 01:45 UTC
Resolved
This incident has been resolved.
Posted 12 days ago. Jan 21, 2024 – 01:59 UTC
ABER:
Auf der Status-Seite (siehe erster Link oben) gibt es ab dem 29.Januar bis heute 01.Februar mehrere weitere Meldungen.
"The maintenance of systems is still ongoing to ensure that the client login will be available"
Mit einem Link, wie man eine Lizenz neu installiert und neu aktiviert.
Die waren also weltweit down, total abgeschossen, beginnend ab 20. Januar 2024 (gelber Balken unmittelbar vor dem roten Balken).
Der Fix am 21.Januar 2024 hat das Netzwerk-Problem beseitigt, aber dabei wurden wohl einige Lizenzen unbrauchbar, so dass sich die User nicht mehr neu einloggen konnten.
Dieses Sekundär-Problem ist auch heute noch nicht vollständig gelöst, weil der Support überlastet ist.
Ich habe eben noch ein Informationsschnipsel bekommen – alle halten sich bedeckt, um nicht "als Quelle abgeschossen zu werden". Wenn ich die Informationen zusammen würfele, gab es einen meldepflichtigen Cyber-Incident. Genaues weiß ich auch nicht – da muss die entsprechende deutsche Behörde "Milch geben".
Noch ein Tipp: Wer Passwörter verwendet hat, sollte diese vorsorglich mal ändern. Geht bis zum Widerruf davon aus, dass alles kompromittiert sein könnte, was AnyDesk betrifft und damit angefasst wurde. Falls es sich später als "nicht so dramatisch" herausstellt, tut es nicht weh. Der umgekehrte Fall wäre deutlich schlimmer (also "wird schon nichts passiert sein", und die schauen sich längst im Netzwerk oder AD um).
Ergänzung: Gibt eine zweite Rückmeldung eines Nutzers, dem eine Session von einem Dritten gekapert wurde – versuche Freitag Details zu bekommen.