La versión Xshell de la puerta trasera está implantada
Roar el 14 de agosto, la versión oficial de la versión 5.0 Build 1322 lanzada por el conocido software de gestión de terminales de servidor Xshell el 18 de julio, fue implantada en la puerta trasera, y los usuarios serán engañados al descargar y actualizar a esta versión. El editor de Roar preguntó por ahí, y muchos amigos a su alrededor se vieron afectados, y el daño estaba siendo evaluado, o la información del dispositivo de usuario podría ser robada.
Xshell es un potente software de gestión de terminales de servidor que soporta SSH1, SSH2, TELNET y otros protocolos, desarrollado por la empresa extranjera NetSarang, y cuenta con una amplia audiencia en los ámbitos de operación y mantenimiento, webmasters y seguridad.
NetSarang emitió un boletín de seguridad el 7 de agosto, diciendo que su software Xmanager Enterprise, Xmanager, Xshell, Xftp y Xlpd, recientemente actualizado (18 de julio) presentaba vulnerabilidades de seguridad, y que el funcionario lo había corregido urgentemente el 5 de agosto y publicado una versión actualizada. No se han encontrado vulnerabilidades explotadas.
Versiones afectadas de los cinco softwares:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Versión 1045
Xshell 5.0 Versión 1322
Xftp 5.0 Versión 1218
Xlpd 5.0 Build 1220
El 5 de agosto, los cinco programas lanzaron nuevas versiones, y el registro de cambios era básicamente el mismo, todos mencionando la nssock2.dll de rastrear mensajes y archivos de problemas para arreglar canales SSH:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang no explicó la causa de la vulnerabilidad y, según Roar, es probable que la empresa sufriera una intrusión y que la versión de lanzamiento se implantara en una puerta trasera.
El editor de Roar se enteró de que algunos usuarios domésticos actualizaron a la versión del problema de Xshell, y la captura de paquetes detectó que el nssock2.dll de esta versión enviaba una petición DNS defectuosa a un nombre de dominio desconocido (*nylalobghyhirgh.com). La versión en cuestión nssock2.dll tiene una firma oficial, y es posible que el atacante haya robado la firma de NetSarang o la haya implantado directamente a nivel de código fuente.
Plan de reparación
NetSarang ha lanzado una versión corregida, y Roar recomienda que los usuarios de los productos de la empresa actualicen a la última versión lo antes posible, y la red empresarial podrá bloquear el nombre de dominio *.nylalobghyhirgh.com.
|
Publicado en 24/8/2017 9:21:28
|
|
|
Publicado en 25/3/2018 23:34:43
|
