AnyDesk, une solution de bureau à distance largement utilisée, a subi une importante faille de sécurité en décembre 2023. Elle fut seulement révélée au début février 2024.
Au cours de l'incident, les serveurs de production d'AnyDesk ont été compromis, permettant aux cybercriminels d'accéder aux systèmes de production, au code source et aux certificats de signature de code.
Bien qu'AnyDesk ait reconnu la faille, la nature exacte et les implications des vulnérabilités restent floues. Cependant, ils ont assuré aux utilisateurs qu'il ne s'agissait pas d'une tentative d'extorsion par rançongiciel, qu'aucun code malveillant n'a été distribué aux clients et qu'aucune donnée utilisateur n'a été volée.
Néanmoins, il a été conseillé aux utilisateurs de mettre à jour rapidement leur version d'AnyDesk et leurs identifiants de connexion. De plus, les certificats utilisés pour signer les versions précédentes du logiciel ont immédiatement été révoqués.
Avec environ 170 000 clients, dont certains clients AXS Guard, cet incident a poussé les organisations à réévaluer les risques associés à ce type de logiciel.
L'un de nos clients a pris conscience des risques inhérents à l'autorisation d'un accès externe aux PC dans son environnement de travail, ce qui l'a conduit à revoir ses politiques.
Afin de réduire ces risques, le client a sollicité l'assistance d'AXS Guard pour explorer les options permettant de limiter l'utilisation de logiciels vulnérables au sein de son réseau.
Comment résoudre cette situation/ce problème?
En collaboration avec les experts d'AXS Guard, plusieurs mesures proactives ont été mises en œuvre:
1. IBM
QRadar EDR
Une politique DeStra (Stratégie de Détection) a été mise en place pour bloquer instantanément toutes les opérations liées à AnyDesk.
Ainsi, les utilisateurs essayant de lancer AnyDesk ont reçu des notifications de violation de politique, tandis que les administrateurs système ont reçu des alertes via le tableau de bord QRadar EDR.
2. AXS Guard - SecureDNS
Un filtre DNS a été rapidement déployé sur tous les appareils AXS Guard.
Ce filtre bloque efficacement les connexions AnyDesk au niveau DNS et fournit des journaux d'événements détaillés accessibles via le tableau de bord de sécurité DNS dans l'AXS Guard Cloud.
3. AXS Guard - Firewall
En tant que protection supplémentaire, des règles de pare-feu avancées ont été implémentées.
C'est pour bloquer toutes connexions involontaires et non autorisées.
Conclusion
La compétence et la flexibilité démontrées par l'équipe d'AXS Guard ont permis de résoudre rapidement les appréhensions du client. Selon AXS Guard, il est impératif d'examiner en profondeur tous les outils et logiciels au sein de votre réseau d'entreprise. Bien que l'incident AnyDesk serve d'exemple concret, le maintien d'une bonne hygiène de cybersécurité exige une vigilance constante.
Renforcer la Cybersécurité: Leçons de la Faille AnyDesk