AnyDesk und die Störungen: Es ist womöglich was im Busch

Stop - PixabayEin kurzer Hinweis an IT-Supporter, die die Fernwartungssoftware AnyDesk für den Remote-Support einsetzen. Ich hatte vor einigen Tagen über Störungen berichtet (siehe Störung bei AnyDesk, jemand betroffen?). Echo aus der Blog-Leserschaft hier war "es gibt kein Problem, gehen sie weiter". Inzwischen läuft bei AnyDesk seit dem 30.1.2024 eine Maintenance. Nun tröpfeln vage Informationen bei mir ein. Nachtrag: Es scheint eine Informationssperre zu geben, so dass ich nicht an Details heran komme. Ergänzung: Der Hack und die kompromittierten Produktionssysteme sind bestätigt.


Anzeige

Die Informationen, die ich habe, lauten, dass es mit AnyDesk (und womöglich anderen Diensten wie Rust etc.) ein Problem gibt und was wackelt. Zudem gibt es aus einer Quelle die (momentan recht nebulös formulierte) Empfehlung, sehr genau zu schauen, wo man AnyDesk einsetzt (keinesfalls in KRITIS-Umgebungen).

Noch kenne ich keine Details, aber es soll "demnächst" eine Meldung kommen. Sobald ich näheres weiß und das Ganze öffentlich ist, werde ich berichten.

PS: Habe die Kommentierung hier gesperrt, die kann beim oben verlinkten Beitrag weiter laufen, sonst haben wir zwei Stränge, wo die Diskussion stattfindet.

PPS: Update 2.1.2024; 05:50 Uhr; Ich hoffe am heutigen 2. Februar 2024 auf Details und ein möglichst frühes (zugesagtes) Telefonat mit dem AnyDesk CEO Philipp Weiser.

Ergänzungen vom 2.2.2024; 12:36 Uhr: Nach zahlreichen (sehr nebulösen) Informationsbruchstücken – und einigen konkreten Beobachtungen aus der Leserschaft – ahne ich, was passiert sein könnte. Es bleibt von mir bei der Warnung, AnyDesk bis zur Klärung der Details – vorsorglich – nicht mehr einzusetzen und Systeme, bei denen das Produkt im Januar 2024 verwendet wurde, sehr genau zu beobachten (und ggf. auf Malware zu scannen).

Generell liegt so etwas wie ein "Deckel" (Informationssperre) auf der gesamten Geschichte. Keiner darf was sagen. Beim Telefonat mit einem BSI Pressesprecher wollte bzw. konnte man mir nicht mal einen Termin nennen, wann die Öffentlichkeit informiert wird.

Ich werde daher über das hinaus, was im oben verlinkten Beitrag von mir in den Kommentaren steht, auch keine weiteren Informationen mehr rausgeben, bis ich offizielle Informationen mit Details bekomme. Aus meinen Informationsbruchstücken kann ich nämlich nicht ableiten, wie gravierend die Auswirkungen sind. Klar ist laut Changelog, dass im AnyDesk Client 8.0.8 das digitale Zertifikat zur Codesignierung ausgetauscht wurde.

Und da sind wir bei dem, was mich in diesem Kontext stört bzw. interessiert und für die Leserschaft interessant ist: Wer und was könnte betroffen sein? Was können/sollen AnyDesk-Nutzer tun? Da tappe ich mangels Information im Dunkeln (und nehme den worst case an). Es stört mich schon, dass da bisher keine zeitnahen Warnungen veröffentlicht werden. Kann natürlich sein, dass der Zertifikatstausch vorsorglich passierte und man erst untersuchen will, ob es Relevanz hat. Nachtrag: Wenn es gut läuft kann ich heute (2.2.2024) noch was zu schreiben – mir sind Infos von AnyDesk versprochen worden.


Anzeige

Ergänzung: Nun ist es offiziell, AnyDesk wurde kompromittiert. Ich habe es im Beitrag AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen aufbreitet und plane einen Folgeartikel.

Ähnliche Artikel:
Was ist bei AnyDesk los? (März 2023)
AnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights
Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client …
AnyDesk und die Störungen: Es ist womöglich was im Busch
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen

AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr  – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese – Teil 5
AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
AnyDesk-Hack – Hinweise zum Zertifikatstausch bei Customs-Clients 7.x – Teil 7
AnyDesk-Hack – Weitere Informationen vom 5. Februar 2024 -Teil 8


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu AnyDesk und die Störungen: Es ist womöglich was im Busch

  1. RalphAndreas sagt:

    Frage: Wo steht geschrieben, das man Anydesk nicht mehr in KRITIS-Umgebungen einsetzen sollte ?

    • Egon sagt:

      Sollten in KRITIS-Bereichen überhaupt Remote-Dienste Verwendung finden?

    • Pau1 sagt:

      Günter hat wohl irgendwie Hintergrund-Infos bekommen, die er aber noch nicht veröffentlichen möchte/darf.

      So eine Remote Software, die durch alle Firewalls durchtunneln kann, ist natürlich ein interessanter Angriffs-Punkt.

      Natürlich würde ich so etwas, das seine Date n über externe Serverstrukturen schickt, niemals für Kritische Infrastruktur verwenden.
      Wir haben ja gesehen was passiert als die Russen im Februar 22 einen Satelliten runtergeholt haben um die Ukraine zu stören, dabei nebenbei, kurzmal die Steuerung von 6000 Windkraftwerken hier abgeschaltet hatten..
      Neulich haben sie vermutlich das GPS in Polen und der Ostsee gestört. (Was die Militärs nicht stört, aber die zivile Navigation.)

      • Günter Born sagt:

        Ich bin bezüglich Details noch total blind, hab aber einen Hinweis bekommen, momentan vorsichtig zu sein. Mit der Beobachtung des erwähnten Lesers und dem Wissen, dass Rust Desk die Woche auch unter Beschuss war, kann man sich seines denken.

  2. Karl Sotter sagt:

    Offensichtlich ist nicht nur Anydesk betroffen!

    Rustdesk hat vor 14 Stunden einen DDOS-Angriff gemeldet (https://github.com/rustdesk/rustdesk/issues/7027). Das Problem besteht weiterhin.

  3. rpr sagt:

    Mal beobachten.
    Rustdesk kann man mit einem eigenen Server betreiben.
    Sofern der Code nicht manipuliert wurde sollte das Thema damit doch durch sein.
    Aber nichts genaues weis man nicht.

  4. Chris sagt:

    Anydesk kann man mit einen eigenen "Namensraum" betreiben und gleichzeitig den Zugriff so Beschränken das man nur von diesem Namensraum aus auch auf die Geräte zugreifen kann.

    Somit verhindert man das irgendwelche dritten einen Verbindung zu Anydesk aufbauen können nur weil sie zufällig die Nummer kennen.

  5. Bolko sagt:

    Am 21.Januar 2024 gab es auf allen Kontinenten für 1 Stunde und 59 Minuten einen Totalausfall bei Anydesk (Beginn aber schon am 20.1.).
    siehe da (etwas runterscrollen, je 1 roter Balken zeitgleich auf allen Kontinenten und direkt davor je 1 gelber Balken):
    status[.]anydesk[.]com

    Beim "Customer Portal" gab es ab diesem Zeitpunkt 4 rote Balken. Wahrscheinlich weil alle gleichzeitig Support brauchten, weil nichts mehr ging.

    Zeigt man mit der Maus auf das rote Kästchen in der kontinentalen Darstellung, dann steht da:
    "Related: Emergency network maintenance"

    Folgt man diesem Link, dann landet man da:
    status[.]anydesk[.]com/incidents/fk5c1vvqyd7r

    Da steht:

    Investigating
    Currently we're performing emergency network maintenance. Existing connections should not be affected, however new connections won't be possible. Our apologies for any inconvenience it might have caused.
    Posted 12 days ago. Jan 20, 2024 – 23:48 UTC

    Monitoring
    A fix has been implemented and we are monitoring the results.
    Posted 12 days ago. Jan 21, 2024 – 01:45 UTC

    Resolved
    This incident has been resolved.
    Posted 12 days ago. Jan 21, 2024 – 01:59 UTC

    ABER:
    Auf der Status-Seite (siehe erster Link oben) gibt es ab dem 29.Januar bis heute 01.Februar mehrere weitere Meldungen.
    "The maintenance of systems is still ongoing to ensure that the client login will be available"
    Mit einem Link, wie man eine Lizenz neu installiert und neu aktiviert.

    Die waren also weltweit down, total abgeschossen, beginnend ab 20. Januar 2024 (gelber Balken unmittelbar vor dem roten Balken).
    Der Fix am 21.Januar 2024 hat das Netzwerk-Problem beseitigt, aber dabei wurden wohl einige Lizenzen unbrauchbar, so dass sich die User nicht mehr neu einloggen konnten.
    Dieses Sekundär-Problem ist auch heute noch nicht vollständig gelöst, weil der Support überlastet ist.

    • Günter Born sagt:

      Ich habe eben noch ein Informationsschnipsel bekommen – alle halten sich bedeckt, um nicht "als Quelle abgeschossen zu werden". Wenn ich die Informationen zusammen würfele, gab es einen meldepflichtigen Cyber-Incident. Genaues weiß ich auch nicht – da muss die entsprechende deutsche Behörde "Milch geben".

      Noch ein Tipp: Wer Passwörter verwendet hat, sollte diese vorsorglich mal ändern. Geht bis zum Widerruf davon aus, dass alles kompromittiert sein könnte, was AnyDesk betrifft und damit angefasst wurde. Falls es sich später als "nicht so dramatisch" herausstellt, tut es nicht weh. Der umgekehrte Fall wäre deutlich schlimmer (also "wird schon nichts passiert sein", und die schauen sich längst im Netzwerk oder AD um).

      Ergänzung: Gibt eine zweite Rückmeldung eines Nutzers, dem eine Session von einem Dritten gekapert wurde – versuche Freitag Details zu bekommen.

Kommentare sind geschlossen.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.