Xshell 버전의 백도어가 이식됩니다
8월 14일 Roar, 유명 서버 터미널 관리 소프트웨어 Xshell이 7월 18일에 출시한 공식 버전 5.0 빌드 1322가 백도어에 심어졌으며, 사용자가 이 버전으로 다운로드 및 업데이트할 때 속임수를 당할 수 있습니다. Roar 편집자는 주변에 문의했고, 주변 많은 친구들이 영향을 받았으며, 피해 상황이 평가되거나 사용자 기기 정보가 도난당할 수도 있다고 했습니다.
Xshell은 외국 기업 NetSarang이 개발한 강력한 서버 터미널 관리 소프트웨어로, SSH1, SSH2, TELNET 등 다양한 프로토콜을 지원하며, 운영 및 유지보수, 웹마스터, 보안 분야에서 큰 인기를 얻고 있습니다.
NetSarang은 8월 7일 보안 공지를 발표하며, 최근 업데이트된 Xmanager 엔터프라이즈, Xmanager, Xshell, Xftp, Xlpd 소프트웨어에 보안 취약점이 있었으며, 관계자가 8월 5일에 긴급히 수정하고 업데이트 버전을 공개했다고 밝혔습니다. 취약점이 악용된 것으로 확인된 바 없습니다.
다섯 가지 소프트웨어의 영향을 받는 버전:
Xmanager Enterprise 5.0 빌드 1232
Xmanager 5.0 빌드 1045
엑셸 5.0 빌드 1322
Xftp 5.0 빌드 1218
XLPD 5.0 빌드 1220
8월 5일, 다섯 소프트웨어가 새 버전을 출시했으며, 변경 로그는 기본적으로 동일했으며, 모두 SSH 채널 수정을 위한 추적 메시지와 문제 파일 nssock2.dll을 언급했습니다:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang은 취약점의 원인을 설명하지 않았으며, Roar에 따르면 회사가 침입을 당해 릴리스 버전이 백도어에 심어졌을 가능성이 큽니다.
Roar 편집기는 일부 국내 사용자가 Xshell 문제 버전으로 업데이트했다는 사실을 파악했고, 패킷 캡처 과정에서 이 버전의 nssock2.dll가 낯선 도메인 이름(*.nylalobghyhirgh.com)으로 잘못된 DNS 요청을 보내는 것을 발견했습니다. nssock2.dll문제의 버전은 공식 서명을 가지고 있으며, 공격자가 NetSarang의 서명을 훔치거나 소스 코드 수준에서 직접 이식했을 가능성도 있습니다.
픽스 플랜
NetSarang은 수정된 버전을 출시했으며, Roar는 회사 제품 사용자들에게 가능한 한 빨리 최신 버전으로 업데이트할 것을 권고하며, 기업 네트워크가 *.nylalobghyhirgh.com 도메인 이름을 차단할 수 있습니다.
|
게시됨 2017. 8. 24. 오전 9:21:28
|
|
|
게시됨 2018. 3. 25. 오후 11:34:43