【高危漏洞预警第38期】NetSarang的Xmanager和Xshell多种产品源码被植入后门

admin 2022年7月6日08:17:41评论426 views字数 1318阅读4分23秒阅读模式

↑ 点击上方“安全狗”关注我们


近期,安全狗获悉卡巴斯基安全实验室发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,包含的nssock2.dll模块源码被植入恶意后门,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认后门存在:


【高危漏洞预警第38期】NetSarang的Xmanager和Xshell多种产品源码被植入后门


NetSarang是一家以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd为主。Xshell特别是Build 1322在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险,安全狗建议用户检查自己所使用的Xshell版本,并及时采取有效措施


1、漏洞信息


漏洞类型:后门


危害等级:高危


影响版本

根据今天(2017/08/14)NetSarang的安全公告,受到影响的软件版本有

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220


2、漏洞危害


Xshell的nssock2.dll模块官方源码中近期被发现植入恶意后门代码,存在后门的版本会向nylalobghyhirgh.com发起请求传输敏感数据(或上传用户服务器账号密码)


有研究发现,后门会对一个箱子域名“nylalobghyhirgh.com”发起请求,该域名开启了隐私保护,且只能查询到NS记录;此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。 


3、漏洞检测方法


打开Xshell工具,点击帮助-关于Xshell(A)查看当前版本,如果版本为Xshell  5.0.1322或Xshell  5.0. 1325,请更新到最新版本Xshell 5 Build 1326


4、应急修复方案


请升级到官方的最新版本

官网地址:https://download.netsarang.com


Xshell 5 Build 1326

Xshell5.exe, Aug 04 2017, 31.52 MB

MD5: a15d3ca207b914a5eedb765035ba2950

SHA1: a73ea08c2bc2326fdb1c5de3488f1004b7b38249


安全狗将持续跟踪事件进展,并及时公布解决方案。


往期精彩文章:

重磅!!!安全狗亮相2017iworld大会 剖析企业云安全难题

天天用的微信、微博和贴吧都被立案调查了

地震过后,是不是要关注一下容灾备份和网络安全?

微软又公布了一批漏洞,有几个还挺严重的

我们不是战狼,但是比狼还凶

还记得那个被抓起来的阻击了Wannacry的小哥么?他被保释了

从《网络安全法》首个判罚案例中,我们能学到什么?

安全狗闪耀亮相可信云大会 共同探讨SAAS行业过去未来

安全狗战队再出征:网络安全“比武”获优秀成绩

安全狗首席安全架构师 传授安全飚车秘籍

我们为什么需要渗透测试?

安全狗入选《中国网络安全企业50强》 创新力获市场认可


【高危漏洞预警第38期】NetSarang的Xmanager和Xshell多种产品源码被植入后门


原文始发于微信公众号(安全狗):【高危漏洞预警第38期】NetSarang的Xmanager和Xshell多种产品源码被植入后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日08:17:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【高危漏洞预警第38期】NetSarang的Xmanager和Xshell多种产品源码被植入后门http://cn-sec.com/archives/1102158.html

发表评论

匿名网友 填写信息