Версія бекдора на Xshell імплантована
Roar 14 серпня офіційна версія 5.0 Build 1322, випущена відомим програмним забезпеченням для керування серверними терміналами Xshell 18 липня, була імплантована у бекдор, і користувачів обмануть під час завантаження та оновлення до цієї версії. Редактор реву поцікавився, і багато друзів навколо нього постраждали, оцінювали шкоду, інакше інформацію про пристрій користувача могли вкрасти.
Xshell — це потужне програмне забезпечення для управління серверними терміналами, яке підтримує SSH1, SSH2, TELNET та інші протоколи, розроблене іноземною компанією NetSarang, і має широку аудиторію у сфері експлуатації та обслуговування, вебмайстрів і безпеки.
NetSarang опублікував інформаційний бюлетень про безпеку 7 серпня, повідомивши, що нещодавно оновлене (18 липня) програмне забезпечення Xmanager Enterprise, Xmanager, Xshell, Xftp та Xlpd мають вразливості, і офіційна особа терміново виправила це 5 серпня та випустила оновлену версію. Жодних вразливостей не виявлено, які були використані.
Впливові версії п'яти програм:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
XLPD 5.0 Build 1220
5 серпня п'ять програм випустили нові версії, і журнал змін залишився фактично тим самим, усі згадували nssock2.dll відстеження повідомлень і проблемних файлів для виправлення SSH-каналів:
FIX: Unnecessary SSH channel trace messagesFIX: Patched an exploit related to nssock2.dll
NetSarang не пояснив причину вразливості, і, за словами Roar, ймовірно, компанія зазнала вторгнення, і версія релізу була імплантована у бекдорі.
Редактор Roar дізнався, що деякі домашні користувачі оновлювалися до версії з проблемою Xshell, і захоплення пакетів виявило, що nssock2.dll цієї версії надсилає неправильно сформований DNS-запит на незнайоме доменне ім'я (*.nylalobghyhirgh.com). Версія, про яку йдеться, nssock2.dll має офіційний підпис, і можливо, що зловмисник вкрав підпис NetSarang або імплантував його безпосередньо на рівні вихідного коду.
План виправлення
NetSarang випустив виправлену версію, і Roar рекомендує користувачам продуктів компанії якнайшвидше оновлювати версію до останньої версії, а корпоративна мережа може заблокувати доменне ім'я *.nylalobghyhirgh.com.
|
Опубліковано 24.08.2017 09:21:28
|
|
|
Опубліковано 25.03.2018 23:34:43
|
