La version Xshell de la porte arrière est implantée
Roar le 14 août, la version officielle de la version 5.0 Build 1322 publiée par le célèbre logiciel de gestion de terminaux serveur Xshell le 18 juillet, a été implantée dans la porte dérobée, et les utilisateurs seront trompés lors du téléchargement et de la mise à jour vers cette version. Le rédacteur de Roar s’est renseigné, et de nombreux amis autour de lui ont été affectés, et le préjudice était en cours d’évaluation, ou les informations de l’appareil utilisateur pouvaient être volées.
Xshell est un puissant logiciel de gestion de terminaux serveur qui prend en charge SSH1, SSH2, TELNET et d’autres protocoles, développé par la société étrangère NetSarang, et qui compte un large public dans les cercles de l’exploitation et de la maintenance, des webmasters et de la sécurité.
NetSarang a publié un bulletin de sécurité le 7 août, indiquant que ses logiciels récemment mis à jour (le 18 juillet) Xmanager Enterprise, Xmanager, Xshell, Xftp et Xlpd présentaient des vulnérabilités de sécurité, et que le responsable avait corrigé cela d’urgence le 5 août et publié une version mise à jour. Aucune vulnérabilité n’a été trouvée exploitée.
Versions concernées des cinq logiciels :
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Version 1218
Xlpd 5.0 Version 1220
Le 5 août, les cinq logiciels ont publié de nouvelles versions, et le journal des modifications était essentiellement le même, tous mentionnant le nssock2.dll de suivi des messages et des fichiers problèmes pour corriger les canaux SSH :
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang n’a pas expliqué la cause de la vulnérabilité, et selon Roar, il est probable que la société ait subi une intrusion et que la version de sortie ait été implantée dans une porte dérobée.
L’éditeur roar a appris que certains utilisateurs domestiques avaient mis à jour la version du problème Xshell, et la capture de paquets a révélé que le nssock2.dll de cette version envoyait une requête DNS déformée à un nom de domaine inconnu (*.nylalobghyhirgh.com). La version en question nssock2.dll une signature officielle, et il est possible que l’attaquant ait volé la signature de NetSarang ou l’ait implantée directement au niveau du code source.
Plan de réparation
NetSarang a publié une version corrigée, et Roar recommande aux utilisateurs des produits de l’entreprise de mettre à jour vers la dernière version dès que possible, permettant au réseau d’entreprise de bloquer le nom de domaine *.nylalobghyhirgh.com.
|
Publié sur 24/08/2017 09:21:28
|
|
|
Publié sur 25/03/2018 23:34:43
|
