回归最本质的信息安全

安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响)

2017年8月14日发布

223,890
4
50

导语:知名服务器终端管理软件Xshell在7月18日发布的5.0 Build 1322官方版本被植入后门,用户下载、更新到该版本均会中招。

WechatIMG1406.png

被植入后门的Xshell版本

嘶吼8月14日消息,知名服务器终端管理软件Xshell在7月18日发布的5.0 Build 1322官方版本被植入后门,用户下载、更新到该版本均会中招。嘶吼编辑打听了一圈,身边有多位朋友受到影响,危害正在评估中,或可能窃取用户设备信息。

Xshell是一款功能强大的服务器终端管理软件,支持SSH1、SSH2、TELNET等协议,由国外公司NetSarang开发,在运维、站长、安全等圈子里有极多受众。

NetSarang公司在8月7日发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。目前暂未发现有人利用过漏洞。

五款软件的受影响版本:

Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220

8月5日五款软件发布新版本,更新日志基本一致,都提到修复SSH通道的追踪消息和问题文件nssock2.dll:

FIX: Unnecessary SSH channel trace messages
FIX: Patched an exploit related to nssock2.dll

NetSarang公司没有解释漏洞的成因,据嘶吼了解,很可能是该公司遭遇了入侵,发布版本被植入后门。

嘶吼编辑获悉,有国内用户更新到Xshell问题版本,抓包发现该版本的nssock2.dll会向陌生域名(*.nylalobghyhirgh.com)发送畸形DNS请求。问题版本的nssock2.dll带有官方签名,可能是攻击者窃取了NetSarang的签名,或者直接在源码层面进行了植入。

WechatIMG1418.png

目前嘶吼已获得恶意文件样本(下载地址),更多技术细节请等待更新。

修复方案

NetSarang公司已经发布修复版本,嘶吼建议该公司产品用户请尽快更新至最新版本,企业网络可将*.nylalobghyhirgh.com域名进行屏蔽

目前五款软件的最新版本:

Xmanager Enterprise 5 Build 1236
Xmanager 5 Build 1049
Xshell 5 Build 1326
Xftp 5 Build 1222
Xlpd 5 Build 1224

本文为嘶吼编辑原创,如若转载,请注明原文地址: http://www.4hou.com/info/news/7244.html

点赞 50
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论

    longye
    longye 2017-08-17 10:58

    卡巴斯基终于出报告了,NetSarang也更新声明:目前香港发现一例攻击案例。
    按卡巴斯基分析,恶意dll会自动上传本机的计算机名、域名、用户名,并包含远控功能。由于目前没有监测到远控功能的使用,也无从判断攻击者到底做过什么。
    https://securelist.com/shadowpad-in-corporate-networks/81432/

    蓝点网 2017-08-14 15:13

    此消息可能有误,目前在国外平台并未查询到相关信息。另此消息可能来源于【7月初】维基解密发布的文档,CIA针对Xshell开发后门程序
    另外PuTTY也受到影响,PuTTY今年已经发布三个正式版,全部是用于解决SSH劫持问题,维基解密发布的文档显示CIA是针对针对Xhell 3开发的后门程序,后续版本未知。不过为了安全起见无论使用PuTTY还是Xshell都应该更新到最新版本。