[color=rgb(0, 0, 0)]近期,获悉卡巴斯基安全实验室发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,包含的nssock2.dll模块源码被植入恶意后门,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认后门存在:
[color=rgb(0, 0, 0)]
[color=rgb(0, 0, 0)]
NetSarang是一家以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd为主。Xshell特别是Build 1322在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,草根吧建议用户检查自己所使用的Xshell版本,并及时采取有效措施。
草根吧将持续跟踪事态发展,并尽快发布解决方案。
NetSarang是一家以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd为主。Xshell特别是Build 1322在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,草根吧建议用户检查自己所使用的Xshell版本,并及时采取有效措施。
草根吧将持续跟踪事态发展,并尽快发布解决方案。
一、漏洞信息
漏洞类型:后门
危害等级:高危
影响版本
根据今天(2017/08/14)NetSarang的安全公告,受到影响的软件版本有Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
漏洞类型:后门
危害等级:高危
影响版本
根据今天(2017/08/14)NetSarang的安全公告,受到影响的软件版本有Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
二、漏洞危害
Xshell的nssock2.dll模块官方源码中近期被发现植入恶意后门代码,存在后门的版本会向nylalobghyhirgh.com发起请求传输敏感数据(或上传用户服务器账号密码)。
有研究发现,后门会对一个箱子域名“nylalobghyhirgh.com”发起请求,该域名开启了隐私保护,且只能查询到NS记录;
此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。
三、排查方法
打开Xshell工具,点击帮助-关于Xshell(A)查看当前版本,如果版本为Xshell 5.0.1322或Xshell 5.0. 1325,请更新到最新版本Xshell 5 Build 1326。
