宁夏回族自治区通信管理局
网络与信息安全
2017-12-11
工业和信息化部关于开展“工业和...
2017-12-11
关于开展“工业和信息化部ICP...
2017-12-11
关于开展“ICP/IP地址/域...
2017-12-11
关于开展“工业和信息化部ICP...
2017-08-22
关于D-Link DIR系列路...
2017-08-22
关于NetSarang公司Xs...
2017-08-22
宁夏网络安全情况月通报(201...
2017-08-22
宁夏网络安全情况月通报(201...
2017-08-22
宁夏网络安全情况月通报(201...
2017-08-22
宁夏网络安全情况月通报(201...
 
    网络与信息安全 您的位置>>首页>>网络与信息安全>>漏洞预警>>正文
关于NetSarang公司Xshell等多种产品源码后门威胁监测和普查情况的安全公告
[上传者:Super | 日期:2017-08-22 00:00:00]
 安全公告编号:CNTA-2017-0060

近期,国家信息安全漏洞共享平台(CNVD)收录了NetSarang公司旗下的XmanagerXshell等多种产品源码存在后门漏洞(CNVD-2017-21513)。综合利用该漏洞,攻击者可能会获取使用者主机或服务器的敏感信息,构成信息泄露和运行安全风险。根据CNCERT监测结果,互联网上有3.1万余台主机IP受到后门影响。

一、漏洞情况分析

Xshell 是一款应用广泛的终端软件,被广泛地用于服务器运维和管理,Xshell 支持 SSHSFTPTELNETRLOGIN SERIAL 功能。Xmanager以及XlpdXftp等为NetSarang公司旗下相关产品。

风险存在于XshellXlpdXmanagerXftp等软件安装目录下的用于网络通信的组件nssock2.dll 模块,其被发现加载了被标定为后门类型的代码(样本hash值为:97363d50a279492fda14cbab53429e75),导致敏感信息被泄露到攻击者所控制的控制服务器。根据分析,其加载的Shellcode代码会收集主机信息并通过DNS隧道进行数据传递。同时,后门控制者利用算法生成了对应的控制域名,其中当前的一个控制域名为nylalobghyhirgh.com

CNVD对该漏洞的技术评级为高危

二、漏洞影响范围

目前存在后门的版本及对应产品如下:Xshell Build 5.0.1322Xshell Build 5.0.1325Xmanager Enterprise 5.0 Build 1232Xmanager5.0 Build 1045Xftp 5.0 Build 1218Xftp 5.0 Build 1221Xlpd 5.0 Build 1220。根据CNVD秘书处普查结果,直接暴露在互联网上标定为启用Xshell\Xmanager服务的主机并不多(约1000余台IP),但有可能会广泛出现在企事业单位内部区域网络以及终端上。

根据国家互联网应急中心(CNCERT)监测结果,我国已有3.1万余个IP地址运行的Xshell等相关软件疑似存在后门,主要分布于广东(占谢谢20.39%)、上海(14.43%)、北京(12.69%)、福建(10.11%)等省市。

三、漏洞修复建议

目前厂商已经发布了最新版本修复了此漏洞,请及时更新:

https://www.netsarang.com/download/software.html

附:参考链接:

https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

https://github.com/LucasHood001/xshell_nssock2.dll_malware (恶意样本)

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21513

http://www.cert.org.cn/publish/main/9/2017/20170817205947269344161/20170817205947269344161_.html

 

[ 加入收藏 ]   [ 打 印 ] [ 关 闭 ]
上一篇:关于D-Link DIR系列路由器存在身份验证信息泄露和远程...
下一篇:宁夏网络安全情况月通报(2017年6月)
宁夏回族自治区通信管理局
             
Copyright © 2010 NingXia Communications Administration.宁夏回族自治区通信管理局版权所有
技术支持: 宁夏卓远信科网络技术有限公司 宁ICP备05000001号