La violazione della sicurezza di AnyDesk ci ricorda perché l’accesso remoto sicuro è importante. Dopo un controllo di routine, AnyDesk ha scoperto che i suoi sistemi di produzione erano stati compromessi, il che dimostra che alcuni strumenti di accesso remoto mancano di sicurezza nella sua essenza.
Dettagli chiave della violazione di AnyDesk
Un audit interno ha rivelato un grave incidente di sicurezza
Secondo la risposta all’incidente di AnyDesk, un controllo di sicurezza ha rilevato che alcuni sistemi dell’azienda erano stati compromessi. Sebbene l’incidente non fosse legato a un ransomware, gli aggressori hanno sfruttato la violazione per ottenere l’accesso non autorizzato a informazioni sensibili sui sistemi di AnyDesk.
AnyDesk ha minimizzato l’incidente, affermando che la situazione era sotto controllo. Tuttavia, gli utenti sono stati invitati a reimpostare le proprie password nel caso in cui avessero installato AnyDesk sul proprio sistema e utilizzato le stesse credenziali altrove. La tempistica della manutenzione nei giorni precedenti l’annuncio pubblico e il comunicato stampa di AnyDesk del tardo pomeriggio di venerdì indicano che la violazione si è verificata diversi giorni prima che AnyDesk la riconoscesse pubblicamente.
Gli attori malevoli hanno rubato il codice sorgente e i certificati di firma
BleepingComputer ha scoperto che gli aggressori hanno rubato il codice sorgente e le chiavi private di firma del codice, che sono state poi utilizzate per diffondere il malware sotto le sembianze di un software affidabile.
Gli aggressori hanno usato il certificato per diffondere il malware
Con il certificato rubato, i criminali informatici hanno firmato e distribuito più di 500 campioni di Agent Tesla, un noto trojan ad accesso remoto (RAT). Questi file apparivano autentici, il che rendeva più facile eludere le difese e infettare i dispositivi.
Sono trapelate le credenziali di più di 18.000 clienti
Resecurity ha riferito che oltre 18.000 credenziali di utenti AnyDesk sono apparse sul dark web.
Le organizzazioni devono essere consapevoli dei rischi associati ai software di accesso remoto e adottare misure proattive per proteggere i loro sistemi e i loro dati. Ciò include il monitoraggio di eventuali segni di attività dannose e la garanzia che tutti i protocolli di sicurezza siano aggiornati.
In risposta, AnyDesk ha rilasciato un nuovo certificato di firma del codice e ha invitato gli utenti a cambiare la propria password, soprattutto se avevano utilizzato le stesse credenziali altrove.
Scoperta un’ulteriore falla nella sicurezza
Come se la violazione non bastasse, è stata rivelata una vulnerabilità critica identificata come CVE-2024-13754 nella gestione delle immagini di sfondo del desktop da parte di AnyDesk. Questa falla consente agli aggressori locali con un accesso a basso livello di privilegio di aumentare i propri privilegi sfruttando il modo in cui AnyDesk elabora le immagini di sfondo durante l’inizializzazione della sessione.
All’inizio del 2025 è stato rilasciato un proof-of-concept exploit che ha reso più urgente per gli utenti l’aggiornamento all’ultima versione per mitigare i potenziali rischi.
Gli aggressori si sono spacciati per il CERT-UA in una campagna di social engineering
All’inizio del 2025, alcuni aggressori hanno iniziato a spacciarsi per il Computer Emergency Response Team dell’Ucraina (CERT-UA) inviando richieste di connessione fraudolente a AnyDesk con il pretesto di condurre controlli di sicurezza. Questi attacchi di social engineering miravano a ingannare gli utenti per indurli a concedere l’accesso remoto, portando potenzialmente all’accesso non autorizzato ai dati o alla compromissione del sistema.
Il CERT-UA ha chiarito che, pur potendo utilizzare strumenti di accesso remoto come AnyDesk, tali azioni vengono intraprese solo previo accordo attraverso i canali di comunicazione ufficiali.
Come AnyDesk ha reagito alla violazione
In seguito alla violazione, AnyDesk ha adottato diverse misure per mettere in sicurezza i propri sistemi e proteggere gli utenti. L’azienda ha revocato tutti i certificati di sicurezza, compresi quelli di firma del codice, e li ha sostituiti con altri nuovi.
Inoltre, AnyDesk ha invalidato tutte le password del portale web dei clienti e ha invitato gli utenti a reimpostare le proprie password, soprattutto se le stesse credenziali erano state utilizzate altrove. Queste azioni facevano parte di un piano completo di risposta agli incidenti per mitigare l’impatto della violazione.
Perché prendere sul serio l’attacco di AnyDesk?
Gli utenti di AnyDesk dovrebbero prendere questa notizia molto seriamente. Anche utilizzando un’altra soluzione di accesso remoto, questa notizia dovrebbe indurre a metterne in discussione le credenziali di sicurezza.
Purtroppo non è la prima volta che accade una cosa del genere. Come abbiamo detto all’epoca dell’incidente di sicurezza di GoTo, quando la sicurezza non è la prima priorità, sono i clienti a subirne le conseguenze.
L’impegno di RealVNC® per la sicurezza
In RealVNC la sicurezza non è una caratteristica, è la base. Ogni connessione, ogni aggiornamento, ogni riga di codice è costruita per garantire la protezione dei tuoi dati.
La certificazione ISO 27001 è più di un semplice distintivo
Siamo certificati ISO 27001, il che significa che seguiamo uno degli standard globali più rigorosi per la sicurezza delle informazioni. Questo include valutazioni continue dei rischi, controlli a livello aziendale, audit indipendenti e formazione regolare per il nostro team.
In breve, è la prova che non ci limitiamo a reagire alle minacce. Ci prepariamo ad affrontarle. Se il proprio fornitore di accesso remoto non è certificato, vale la pena chiedersi perché.
Progettato per il modello Zero Trust
Il nostro software è progettato per essere sicuro anche in assenza di fiducia nei nostri confronti.
- Nessuna sessione memorizzata. Nessun dato decifrabile.
- Ogni connessione viene trattata come se fosse sotto attacco.
- L’accesso è sempre controllato dalla persona che si trova sul computer remoto.
Anche se qualcuno rubasse le credenziali del portale, avrebbe comunque bisogno di un secondo livello di credenziali (come Active Directory) per accedere a un dispositivo. Noi non le memorizziamo. Non memorizziamo nemmeno le password del portale in chiaro. Sì, questo aggiunge un piccolo attrito. Ma è un attrito che protegge gli utenti e fornisce un ambiente sicuro.
Verificata da terzi, scelta dai clienti
Abbiamo anche commissionato una audit completo di sicurezza white-box di Cure53, un’autorevole società indipendente. La loro valutazione ha confermato la nostra solida posizione di sicurezza in tutti gli ambiti. Quando i fornitori saltano questo tipo di test, sono gli utenti finali a soffrirne.
I tuoi dati sono in mani sicure con RealVNC
RealVNC non ha mai subito una violazione dei dati. E stiamo lavorando duramente per mantenere questo stato di cose.
Ecco cosa ha detto il CEO di RealVNC Adam Greenwood-Byrne:
Sono orgoglioso dell’impeccabile record di sicurezza di RealVNC e continuiamo a investire in sistemi e servizi che ci assicurano la massima sicurezza. I clienti che collaborano con noi da anni, tra cui dipartimenti governativi di tutto il mondo, riconoscono il valore della nostra posizione di sicurezza così come noi riconosciamo la fiducia che ripongono in noi come fornitore di accesso remoto di prima scelta.
In RealVNC teniamo molto a queste relazioni e il nostro team lavora instancabilmente per garantire che i nostri clienti abbiano ciò di cui hanno bisogno per sentirsi al sicuro. Internet è un luogo molto più pericoloso rispetto a 20 anni fa e noi ci impegniamo a evolverci e ad adattarci di conseguenza.
Quali sono i prossimi passi?
Occorre iniziare chiedendosi se il proprio fornitore di accesso remoto sia in grado di dimostrare che è sicuro. Ma non basta affidarsi alle sue sole dichiarazioni. Occorre cercare prove concrete come audit indipendenti, certificazione ISO 27001 e un’architettura che non si basi solo sulla fiducia. Se il fornitore attuale non è in grado di offrire tutto questo, potrebbe essere il momento di cambiare fornitore.
RealVNC Connect è stato progettato per i team che hanno bisogno di un accesso remoto sicuro e flessibile senza rischi. Riunisce Viewer e Server in un’unica semplice applicazione, funziona su Windows, Mac, Linux e dispositivi mobili e include funzioni come il trasferimento di file, il supporto per più monitor, la chat durante la sessione e un’interfaccia facile da usare.
Non si tratta solo di usabilità. Si tratta di controllo.
RealVNC utilizza codici di sessione a scadenza automatica e non memorizza mai i dati di sessione o le credenziali decifrabili. Il controllo su chi si connette, quando e come rimane sempre in mano agli utenti. Inoltre, con Code Connect puoi impostare l’accesso solo su invito e sapere sempre chi si connette.
Vuoi un accesso remoto davvero sicuro? Prova RealVNC Connect. È apprezzato dai leader IT, dai team governativi e dalle organizzazioni attente alla sicurezza di tutto il mondo. Inizia la tua prova gratuita oggi stesso.
