UCloud-201708-003:NetSarang旗下XShell和Xmanager多款软件被植入后门 | U刻
  • UCloud-201708-003:NetSarang旗下XShell和Xmanager多款软件被植入后门

    栏目:安全资讯

    尊敬的UCloud用户:

    近日,境内外多家安全公司爆料称NetSarang旗下Xmanager和Xshell等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。请及时检查您所使用的版本是否受影响,并采取安全防御措施。

    影响范围
    使用了nssock2.dll 5.0.0.26的版本会受到影响,其中包括:
    Xmanager Enterprise 5.0 Build 1232
    Xmanager 5.0 Build 1045
    Xshell 5.0 Build 1322
    Xshell 5.0 Build 1325
    Xftp 5.0 Build 1218

    Xlpd 5.0 Build 1220

    修复方案
    1、从官网下载最新版本进行升级:https://www.netsarang.com/download/software.html
    2、排查2017年的DNS访问日志,如出现如下子域名相关访问记录,建议修改对应员工使用过Xmanager 、XShell、Xftp等相关的登录账号密码:
    vwrcbohspufip.com
    ribotqtonut.com
    nylalobghyhirgh.com
    jkvmdmjyfcvkf.com
    bafyvoruzgjitwr.com
    xmponmzmxkxkh.com

    tczafklirkl.com

    漏洞详情

    某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码远程漏洞,存在后门的XShell等程序会在启动时发起大量请求DNS域名请求,并根据使用者系统时间生成不同的请求链接。有媒体报道,带后门的Xshell会向服务器传输敏感信息。

    参考链接
    10