预警 | Xshell、Xmanager、Xftp等远程管理产品源码被植入后门
Xmanager、Xshell、Xftp为NetSarang公司开发,主要应用于访问和管理远程服务器。
NetSarang公司在8月7日发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd等软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。
据分析,Xmanager、Xshell、Xftp等软件下的“nssock2.dll”模块源码被植入后门。(nssock2.dll 为Xmanager、Xshell、Xftp等软件使用的动态链接库文件)。“nssock2.dll”带有官方数字签名,猜测可能是攻击者窃取了NetSarang的签名,或者直接在源码层面进行了植入,也不排除有内部人员对上述代码做了篡改。
▲ 从样本中发现可疑控制域名
▲ 通过抓包发现的程序在请求可疑控制域名的DNS请求
影响版本
nssock2.dll: 5.0.0.26
影响软件
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322/1325
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
由于官网只提供最新版本下载,具体受影响的版本只能从非官网下载站获取,暂时无法判断具体所有受影响版本,可以参考如下方法检查是否受影响。
检查方式
找到软件安装目录,找到“nssock2.dll”文件,右键查看属性,查看文件版本是否是5.0.0.26,如果是可能存在后门。
解决方案
1.卸载软件
2.升级到最新版本,升级地址:https://www.netsarang.com/download/software.html
- END -
近期热门文章TOP5