La versione Xshell della backdoor è impiantata
Roar il 14 agosto, la versione ufficiale della Build 1322 5.0 rilasciata dal noto software di gestione dei terminal server Xshell il 18 luglio è stata impiantata nella backdoor, e gli utenti saranno ingannati quando scaricano e aggiornano a questa versione. L'editor del roar si è informato in intorno, e molti amici intorno a lui sono stati coinvolti, e il danno veniva valutato, oppure le informazioni del dispositivo utente potevano essere state rubate.
Xshell è un potente software di gestione dei terminali server che supporta SSH1, SSH2, TELNET e altri protocolli, sviluppato dalla società straniera NetSarang, e ha un vasto pubblico nei settori dell'operazione e manutenzione, dei webmaster e della sicurezza.
NetSarang ha emesso un bollettino di sicurezza il 7 agosto, affermando che il suo software Xmanager Enterprise, Xmanager, Xshell, Xftp e Xlpd recentemente aggiornato (18 luglio) presentava vulnerabilità di sicurezza, e che il funzionario lo aveva urgentemente risolto il 5 agosto rilasciando una versione aggiornata. Non sono state trovate vulnerabilità sfruttate.
Versioni interessate dei cinque software:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
XLPD 5.0 Build 1220
Il 5 agosto, i cinque software rilasciarono nuove versioni e il changelog era sostanzialmente lo stesso, tutti menzionando la nssock2.dll di tracciare messaggi e file problematici per correggere i canali SSH:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang non ha spiegato la causa della vulnerabilità e, secondo Roar, è probabile che l'azienda abbia subito un'intrusione e la versione di rilascio sia stata impiantata in una backdoor.
L'editor di roar ha appreso che alcuni utenti domestici aggiornavano alla versione del problema Xshell, e la cattura dei pacchetti ha rilevato che la nssock2.dll di questa versione inviava una richiesta DNS malformata a un nome di dominio sconosciuto (*.nylalobghyhirgh.com). La versione in questione nssock2.dll ha una firma ufficiale, ed è possibile che l'attaccante abbia rubato la firma di NetSarang o l'abbia impiantata direttamente a livello di codice sorgente.
Piano di riparazione
NetSarang ha rilasciato una versione corretta e Roar raccomanda agli utenti dei prodotti dell'azienda di aggiornare all'ultima versione il prima possibile, così la rete aziendale potrà bloccare il dominio *.nylalobghyhirgh.com.
|
Pubblicato su 24/08/2017 09:21:28
|
|
|
Pubblicato su 25/03/2018 23:34:43
|
