NetSarang旗下XShell和Xmanager多款软件被植入后门

2017-09-11 10:41:31 网司令

1-1.png

尊敬的网司令用户:

近日,境内外多家安全公司爆料称NetSarang旗下Xmanager和Xshell等产品的多个版本被植入后门代码,由于相关软件在国内程序开发和运维人员中被广泛使用,可能导致大量用户服务器账号密码泄露。请及时检查您所使用的版本是否受影响,并采取安全防御措施。

影响范围
使用了nssock2.dll 5.0.0.26的版本会受到影响,其中包括:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xshell 5.0 Build 1325
Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

修复方案
1、从官网下载最新版本进行升级:https://www.netsarang.com/download/software.html
2、排查2017年的DNS访问日志,如出现如下子域名相关访问记录,建议修改对应员工使用过Xmanager 、XShell、Xftp等相关的登录账号密码:
vwrcbohspufip.com
ribotqtonut.com
nylalobghyhirgh.com
jkvmdmjyfcvkf.com
bafyvoruzgjitwr.com
xmponmzmxkxkh.com

tczafklirkl.com

漏洞详情

某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码远程漏洞,存在后门的XShell等程序会在启动时发起大量请求DNS域名请求,并根据使用者系统时间生成不同的请求链接。有媒体报道,带后门的Xshell会向服务器传输敏感信息。

参考链接