安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响)

简介: 本文讲的是安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响),嘶吼8月14日消息,知名服务器终端管理软件Xshell在7月18日发布的5.0 Build 1322官方版本被植入后门,用户下载、更新到该版本均会中招。
本文讲的是 安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响)

安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响)

被植入后门的Xshell版本

嘶吼8月14日消息,知名服务器终端管理软件Xshell在7月18日发布的5.0 Build 1322官方版本被植入后门,用户下载、更新到该版本均会中招。嘶吼编辑打听了一圈,身边有多位朋友受到影响,危害正在评估中,或可能窃取用户设备信息。

Xshell是一款功能强大的服务器终端管理软件,支持SSH1、SSH2、TELNET等协议,由国外公司NetSarang开发,在运维、站长、安全等圈子里有极多受众。

NetSarang公司在8月7日发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。目前暂未发现有人利用过漏洞。

五款软件的受影响版本:

Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220

8月5日五款软件发布新版本,更新日志基本一致,都提到修复SSH通道的追踪消息和问题文件nssock2.dll:

FIX: Unnecessary SSH channel trace messages
FIX: Patched an exploit related to nssock2.dll

NetSarang公司没有解释漏洞的成因,据嘶吼了解,很可能是该公司遭遇了入侵,发布版本被植入后门。

嘶吼编辑获悉,有国内用户更新到Xshell问题版本,抓包发现该版本的nssock2.dll会向陌生域名(*.nylalobghyhirgh.com)发送畸形DNS请求。问题版本的nssock2.dll带有官方签名,可能是攻击者窃取了NetSarang的签名,或者直接在源码层面进行了植入。

安全预警:Xshell 5官方版本被植入后门,更新即中招(国内已有用户受影响)

目前嘶吼已获得恶意文件样本(下载地址),更多技术细节请等待更新。

修复方案

NetSarang公司已经发布修复版本,嘶吼建议该公司产品用户请尽快更新至最新版本,企业网络可将*.nylalobghyhirgh.com域名进行屏蔽

目前五款软件的最新版本:

Xmanager Enterprise 5 Build 1236
Xmanager 5 Build 1049
Xshell 5 Build 1326
Xftp 5 Build 1222
Xlpd 5 Build 1224



原文发布时间为:2017年8月14日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 前端开发 JavaScript
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
211 0
|
Web App开发 Rust 安全
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
138 0
|
安全 Linux PHP
PrestaShop 网站漏洞详情与漏洞修复办法
PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多,PrestaShop扩展性较高,模板也多,多种货币自由切换,并支持信用卡以及paypal支付,是外贸网站的首选。就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较大,可以上传webshell到网站根目录下。
279 0
PrestaShop 网站漏洞详情与漏洞修复办法
再次发现安全漏洞,谷歌提前关闭Google+
在未来90天之内谷歌将关闭Google+的应用程序接口。
265 0
|
安全
微软正准备一个简易的Rootkit清除方案 助用户打补丁
昨天微软MSRC确认了安装MS10-015更新后出现蓝屏问题是由Alureon的rootkit导致,今天微软表示,已经研究出一个简单的解决方案来检测和清除受影响系统中的Alureon。 当然,其它第三方安全公司也已经开始集中研究Alureon所造成的问题。
635 0
|
安全 测试技术 Android开发
三分钟创建一个自己的移动黑客平台
本文讲的是三分钟创建一个自己的移动黑客平台,许多朋友都希望黑客平台可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行黑客创意开发。
2750 0
|
安全 JavaScript 前端开发
又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析,早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文件的漏洞攻击的研究分析,其中一次属于零日漏洞攻击。
1743 0
|
安全 算法 Windows
黑客要闻!知名系统清理工具CCleaner被黑,超过230万用户受影响
本文讲的是黑客要闻!知名系统清理工具CCleaner被黑,超过230万用户受影响,据外媒报道,知名系统清理工具CCleaner被黑,已被攻击者用于传播恶意软件。如果你在今年的8月15日至9月12日期间下载或者更新过CCleaner,那么,很不幸的通知你,你的电脑已经被黑了。
1769 0
|
Web App开发 安全 物联网