A versão Xshell da backdoor é implantada
Roar em 14 de agosto, a versão oficial da versão 5.0 Build 1322 lançada pelo conhecido software de gerenciamento de terminais de servidor Xshell em 18 de julho foi implantada na backdoor, e os usuários serão enganados ao baixar e atualizar para essa versão. O editor do Roar perguntou por aí, e muitos amigos ao redor dele foram afetados, e o dano estava sendo avaliado, ou as informações do dispositivo do usuário poderiam ser roubadas.
Xshell é um poderoso software de gerenciamento de terminais de servidor que suporta SSH1, SSH2, TELNET e outros protocolos, desenvolvido pela empresa estrangeira NetSarang, e possui um grande público nos círculos de operação e manutenção, webmasters e segurança.
A NetSarang emitiu um boletim de segurança em 7 de agosto, informando que seus softwares recentemente atualizados (18 de julho) Xmanager Enterprise, Xmanager, Xshell, Xftp e Xlpd apresentavam vulnerabilidades de segurança, e que o oficial havia corrigido isso urgentemente em 5 de agosto e lançado uma versão atualizada. Nenhuma vulnerabilidade foi encontrada explorada.
Versões afetadas dos cinco softwares:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
Em 5 de agosto, os cinco softwares lançaram novas versões, e o changelog era basicamente o mesmo, todos mencionando o nssock2.dll de rastreamento de mensagens e arquivos de problemas para corrigir canais SSH:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
A NetSarang não explicou a causa da vulnerabilidade e, segundo a Roar, é provável que a empresa tenha sofrido uma invasão e a versão de lançamento tenha sido implantada em uma porta dos fundos.
O editor Roar descobriu que alguns usuários domésticos atualizaram para a versão do problema do Xshell, e a captura de pacotes descobriu que o nssock2.dll dessa versão enviaria uma requisição DNS malformada para um nome de domínio desconhecido (*.nylalobghyhirgh.com). A versão em questão nssock2.dll tem uma assinatura oficial, e é possível que o atacante tenha roubado a assinatura da NetSarang ou a implantado diretamente no nível do código-fonte.
Plano de conserto
A NetSarang lançou uma versão corrigida, e a Roar recomenda que os usuários dos produtos da empresa atualizem para a versão mais recente o mais rápido possível, permitindo que a rede empresarial bloqueie o domínio *.nylalobghyhirgh.com.
|
Publicado em 24/08/2017 09:21:28
|
|
|
Publicado em 25/03/2018 23:34:43
|
