全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   信息安全 信息安全

关于NetSarang公司Xshell等多种产品存在后门情况的预警通报

文章来源:多媒体会议室 发布日期:2017年08月22日    浏览次数:423

近期,CNCERT获悉NetSarang公司旗下的Xmanager、Xshell等多种产品被曝存在后门漏洞(CNVD-2017-21513)。综合利用该漏洞,攻击者可能会获取本机或相关所管理远程系统的敏感信息,构成信息泄露和运行安全风险。经CNCERT抽样验证,已发现我国3万余个IP地址运行的Xshell等相关软件疑似存在该后门。现将有关情况通报如下:

        一、漏洞基本情况

        Xshell 是一款应用广泛的终端模拟软件,被用于服务器运维和管理,支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能。Xshell、Xmanager以及Xlpd、Xftp等为NetSarang公司旗下相关产品。

        本次通报的风险存在于 Xshell、Xlpd、Xmanager、Xftp等软件安装目录下的用于网络通信的组件 nssock2.dll 模块,其加载了被标定为后门类型的代码(样本hash值为:97363d50a279492fda14cbab53429e75),导致敏感信息被泄露到攻击者所控制的控制服务器。根据分析,其加载的Shellcode代码会收集主机信息并通过DNS隧道进行数据传递。同时,后门控制者利用算法生成了对应的控制域名,其中一个域名为 nylalobghyhirgh.com。

        二、漏洞影响范围

        目前存在后门的版本及对应产品包括:Xshell Build 5.0.1322;Xshell Build 5.0.1325;Xmanager Enterprise 5.0 Build 1232;Xmanager 5.0 Build 1045;Xftp 5.0 Build 1218;Xftp 5.0 Build 1221;Xlpd 5.0 Build 1220。

        根据CNCERT监测结果,我国已有3.1万余个IP地址运行的Xshell等相关软件疑似存在该后门,这些IP主要位于广东、上海、北京、福建等省市,占比分别为20.39%、14.43%、12.69%和10.11%。

        三、漏洞修复建议

        目前厂商已经发布了最新版本修复了此漏洞,请及时更新。新版软件下载地址为:https://www.netsarang.com/download/software.html


【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼