Die Xshell-Version der Backdoor ist implantiert
Roar am 14. August wurde die offizielle Version von 5.0 Build 1322, die am 18. Juli von der bekannten Server-Terminalverwaltungssoftware Xshell veröffentlicht wurde, in die Hintertür integriert, und Nutzer werden beim Herunterladen und Aktualisieren auf diese Version getäuscht. Der Roar-Editor erkundigte sich um, viele Freunde um ihn herum waren betroffen, der Schaden wurde bewertet oder die Benutzergeräteinformationen könnten gestohlen werden.
Xshell ist eine leistungsstarke Server-Terminalverwaltungssoftware, die SSH1, SSH2, TELNET und andere Protokolle unterstützt, entwickelt vom ausländischen Unternehmen NetSarang und hat ein großes Publikum in den Bereichen Betrieb und Wartung, Webmaster und Sicherheit.
NetSarang veröffentlichte am 7. August ein Sicherheitsbulletin, in dem bekannt wurde, dass seine kürzlich aktualisierten (18. Juli) Xmanager Enterprise, Xmanager, Xshell, Xftp und Xlpd Sicherheitslücken aufwiesen, und der Offizielle habe diese am 5. August dringend behoben und eine aktualisierte Version veröffentlicht. Es wurden keine Schwachstellen gefunden, die ausgenutzt wurden.
Betroffene Versionen der fünf Software:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
XLPD 5.0 Build 1220
Am 5. August veröffentlichten die fünf Programme neue Versionen, und das Änderungsprotokoll war im Grunde dasselbe, alle erwähnten die nssock2.dll der Nachverfolgung von Nachrichten und Problemdateien zur Reparatur von SSH-Kanälen:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang erklärte die Ursache der Schwachstelle nicht, und laut Roar ist es wahrscheinlich, dass das Unternehmen einen Einbruch erlitt und die Release-Version in eine Hintertür implantiert wurde.
Der Roar-Editor erfuhr, dass einige inländische Nutzer auf die Xshell-Problemversion aktualisiert hatten, und die Paketerfassung ergab, dass die nssock2.dll dieser Version eine fehlerhaft gestaltete DNS-Anfrage an einen unbekannten Domainnamen (*.nylalobghyhirgh.com) senden würde. Die betreffende Version nssock2.dll eine offizielle Signatur, und es ist möglich, dass der Angreifer die Signatur von NetSarang gestohlen oder direkt auf Quellcode-Ebene implantiert hat.
Reparaturplan
NetSarang hat eine feste Version veröffentlicht, und Roar empfiehlt, dass Nutzer der Produkte des Unternehmens so schnell wie möglich auf die neueste Version aktualisieren, damit das Unternehmensnetzwerk den *.nylalobghyhirgh.com-Domainnamen blockieren kann.
|
Veröffentlicht am 24.08.2017 09:21:28
|
|
|
Veröffentlicht am 25.03.2018 23:34:43
|
