【重大事件】知名終端模擬軟體XSHELL多官方版本存在後門,或上傳用戶伺服器賬號密碼!

作者:安全客 - 有思想的安全新媒體

原文鏈接:【重大事件】知名終端模擬軟體XSHELL多版本存在後門,或上傳用戶伺服器賬號密碼!(12:40分更新) - 安全客 - 有思想的安全新媒體

簡介

Xshell是一款強大,著名的終端模擬軟體,被廣泛的用於伺服器運維和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。

它提供業界領先的性能和強大功能,在免費終端模擬軟體中有著不可替代的地位。

企業版中擁有更專業的功能其中包括:標籤式的環境,動態埠轉發,自定義鍵映射,用戶定義按鈕,VB腳本和用於顯示2 byte字元和支持國際語言的UNICODE終端。

Xshell提供許多終端模擬軟體沒有的功能。包括:通過拖放文件進行Zmodem文件上傳,簡單模式,全屏模式,透明度選項和自定義布局模式下載Zmodem文件。使用Xshell執行終端任務節省時間和精力。

目前xshell最高版本為 Xshell 5 Build 1326 該版本更新於2017年8月5日.

官方公告

存在後門版本(已驗證)

  • Xshell Build 5.0.1322
  • Xshell Build 5.0.1325
  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xftp 5.0 Build 1218
  • Xftp 5.0 Build 1221
  • Xlpd 5.0 Build 1220

PS:國內大量下載站,目前都是上述有問題的版本

行為特徵

存在後門的版本會向nylalobghyhirgh.com發起請求,一天的訪問量超過800萬...除了官方版本強制更新,恐怕也找不到其他途徑有這麼多的量了。。。

域名whois信息,該域名開啟了隱私保護。

數據傳輸疑似通過DNS外帶

沒有問題的版本

  • Xmanager Enterprise Build 1236
  • Xmanager Build 1049
  • Xshell Build 1326
  • Xftp Build 1222
  • Xlpd Build 1224

https://download.netsarang.com(primary)

https://download.netsarang.co.kr

請儘快棄用存在後門版本,並更改伺服器密碼!

本文由 安全客 原創發布,如需轉載請註明來源及本文地址。

bobao.360.cn/news/detai

——————————————————————————————————

以下是綠盟官方消息:

NetSarang的Xmanager和Xshell等遠程連接產品在日常安全運維中使用量不小,但不幸的是,近日安全公司發現官方發布的軟體版本中,nssock2.dll模塊源碼被植入後門。綠盟科技發布安全威脅通告,通告全文如下

netsarang公司軟體中的nssock2.dll模塊被植入惡意代碼安全威脅通告

NetSarang是一家提供安全鏈接解決方案的公司,該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。

在最近的軟體版本中發現nssock2.dll模塊的官方源碼中被植入惡意後門代碼:

請儘快棄用存在後門版本,並更改伺服器密碼!

請儘快棄用存在後門版本,並更改伺服器密碼!

請儘快棄用存在後門版本,並更改伺服器密碼!


推薦閱讀:

白宮特供通信軟體Confide被發現存在漏洞,可查看特朗普聊天記錄
objection - 基於 Frida 的 iOS APP Runtime 探測工具
【快訊】Leet.cc上600萬Minecraft玩家數據被竊

TAG:网络安全 | 软件后门 |