【重大事件】知名終端模擬軟體XSHELL多官方版本存在後門,或上傳用戶伺服器賬號密碼!
作者:安全客 - 有思想的安全新媒體
原文鏈接:【重大事件】知名終端模擬軟體XSHELL多版本存在後門,或上傳用戶伺服器賬號密碼!(12:40分更新) - 安全客 - 有思想的安全新媒體
簡介
Xshell是一款強大,著名的終端模擬軟體,被廣泛的用於伺服器運維和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。
它提供業界領先的性能和強大功能,在免費終端模擬軟體中有著不可替代的地位。
企業版中擁有更專業的功能其中包括:標籤式的環境,動態埠轉發,自定義鍵映射,用戶定義按鈕,VB腳本和用於顯示2 byte字元和支持國際語言的UNICODE終端。
Xshell提供許多終端模擬軟體沒有的功能。包括:通過拖放文件進行Zmodem文件上傳,簡單模式,全屏模式,透明度選項和自定義布局模式下載Zmodem文件。使用Xshell執行終端任務節省時間和精力。
目前xshell最高版本為 Xshell 5 Build 1326 該版本更新於2017年8月5日.
官方公告
存在後門版本(已驗證)
- Xshell Build 5.0.1322
- Xshell Build 5.0.1325
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xftp 5.0 Build 1218
- Xftp 5.0 Build 1221
- Xlpd 5.0 Build 1220
PS:國內大量下載站,目前都是上述有問題的版本
行為特徵
存在後門的版本會向http://nylalobghyhirgh.com發起請求,一天的訪問量超過800萬...除了官方版本強制更新,恐怕也找不到其他途徑有這麼多的量了。。。
域名whois信息,該域名開啟了隱私保護。
數據傳輸疑似通過DNS外帶
沒有問題的版本
- Xmanager Enterprise Build 1236
- Xmanager Build 1049
- Xshell Build 1326
- Xftp Build 1222
- Xlpd Build 1224
https://download.netsarang.com(primary)
https://download.netsarang.co.kr
請儘快棄用存在後門版本,並更改伺服器密碼!
本文由 安全客 原創發布,如需轉載請註明來源及本文地址。
http://bobao.360.cn/news/detail/4263.html
——————————————————————————————————
以下是綠盟官方消息:
NetSarang的Xmanager和Xshell等遠程連接產品在日常安全運維中使用量不小,但不幸的是,近日安全公司發現官方發布的軟體版本中,nssock2.dll模塊源碼被植入後門。綠盟科技發布安全威脅通告,通告全文如下
netsarang公司軟體中的nssock2.dll模塊被植入惡意代碼安全威脅通告
NetSarang是一家提供安全鏈接解決方案的公司,該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。
在最近的軟體版本中發現nssock2.dll模塊的官方源碼中被植入惡意後門代碼:
請儘快棄用存在後門版本,並更改伺服器密碼!
請儘快棄用存在後門版本,並更改伺服器密碼!
請儘快棄用存在後門版本,並更改伺服器密碼!
推薦閱讀:
※白宮特供通信軟體Confide被發現存在漏洞,可查看特朗普聊天記錄
※objection - 基於 Frida 的 iOS APP Runtime 探測工具
※【快訊】Leet.cc上600萬Minecraft玩家數據被竊