Версия бэкдора на Xshell имплантирована
Roar 14 августа официальная версия 5.0 Build 1322, выпущенная известным программным обеспечением для управления серверными терминалами Xshell 18 июля, была внедрена в бэкдор, и пользователи будут обмануты при скачивании и обновлении до этой версии. Редактор рёв расспросил, и многие друзья вокруг него пострадали, а вред оценивался, иначе информация о пользовательском устройстве могла быть украдена.
Xshell — это мощное программное обеспечение для управления серверным терминалом, поддерживающее SSH1, SSH2, TELNET и другие протоколы, разработанное иностранной компанией NetSarang, и имеет широкую аудиторию в сфере эксплуатации и обслуживания, вебмастеров и безопасности.
NetSarang выпустил информационный бюллетень о безопасности 7 августа, в котором сообщил, что недавно обновлённые (18 июля) программные программы Xmanager Enterprise, Xmanager, Xshell, Xftp и Xlpd имели уязвимости, и чиновник срочно исправил их 5 августа и выпустил обновлённую версию. Не обнаружено никаких уязвимостей, которые были использованы.
Затронутые версии пяти программ:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 сборка 1322
Xftp 5.0 сборка 1218
XLPD 5.0 сборка 1220
5 августа пять программ выпустили новые версии, и журнал изменений остался практически прежним, все упоминали nssock2.dll отслеживания сообщений и проблемных файлов для исправления SSH-каналов:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang не объяснил причину уязвимости, и, по словам Roar, вероятно, компания подверглась вторжению, и версия релиза была внедрена в бэкдор.
Редактор Roar выяснил, что некоторые домашние пользователи обновляются до версии с проблемой Xshell, и при захвате пакетов было обнаружено, что nssock2.dll этой версии отправляет искажённый DNS-запрос на незнакомое доменное имя (*.nylalobghyhirgh.com). Рассматриваемая версия nssock2.dll имеет официальную подпись, и возможно, что злоумышленник украл подпись NetSarang или внедрил её непосредственно на уровне исходного кода.
План исправления
NetSarang выпустил исправленную версию, и Roar рекомендует пользователям продуктов компании как можно скорее обновиться до последней версии, а корпоративная сеть может заблокировать доменное имя *.nylalobghyhirgh.com.
|
Опубликовано 24.08.2017 9:21:28
|
|
|
Опубликовано 25.03.2018 23:34:43
|
