8月15日左右,知名软件Xshell被曝多版本存在后门,恶意攻击者利用该后门可窃取用户服务器的账号、密码等信息,从而进一步攻击整个服务器。Xshell在国内的使用面很大,敏感信息的泄露可能导致巨大的安全风险;至今,危害仍在持续发酵。
广大政府机关、企事业单位及个人用户:如系统中已安装Xshell系列软件,请尽快更新到最新版本,修改相应服务器管理密码,防止密码泄漏致服务器被入侵。
官方漏洞声明: https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html
受影响版本
据官方8月7日发布的安全公告信息(https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html)显示,受影响版本主要包括 :
Xshell 5.0 Build 1322;
Xshell 5.0 Build 1325;
Xmanager Enterprise 5.0 Build 1232;
Xmanager 5.0 Build 1045;
Xftp 5.0 Build 1218;
Xlpd 5.0 Build 1220。
受影响分析
1.行为特征
存在后门的版本会向一个特定域名nylalobghyhirgh.com发起请求。
2.安全风险判断:高级
据分析,一旦用户使用了受影响的版本,用户网络等相关信息将被上传到远端服务器,从而导致敏感信息泄露,存在较严重的安全风险。
技术细节
Xshell相关的用于网络通信的组件nssock2.dll被发现存在后门类型的代码,DLL本身有厂商合法的数据签名,但已经被多家安全厂商标记为恶意,其存在加载执行Shellcode的功能。
调试发现Shellcode会收集主机信息,生成一个月一个的DGA域名并尝试做解析,其中8月的域名为nylalobghyhirgh.com,从数据来看解析量非常巨大,达到800万。
防护方案
1.用户自查
用户可通过查看nssock2.dll的版本来确定是否受到影响。在软件安装目录下找到文件,右键该文件查看属性,如果版本号为5.0.0.26则存在后门代码:
2.官方解决方案
如果用户正在使用受影响的版本,请升级到最新版。官方在最新的软件版本中已经移除了该后门代码,最新的软件版本分别为:
▲Xmanager Enterprise Build 1236;
▲Xmanager Build 1049;
▲Xshell Build 1326;
▲Xftp Build 1222;
▲Xlpd Build 1224。
最新版本官方下载地址如下:
https://www.netsarang.com/download/software.html
Xshell有隐患?你可这样做!
1、查询DNS访问日志(ipconfig/displaydns),确认主机是否已通过后门发送敏感信息;
2、使用Xshell后门查杀工具进行扫描和清除;
3、卸载相关受影响版本Xshell,升级至最新官方版本;
4、提升安全意识,不要到非官方网站下载或安装软件;
5、修改服务器账号密码,避免已泄露数据带来二次破坏。
再次提醒广大政府机关、企事业单位及个人用户,引起足够重视,Xshell后门事件目前持续发酵中,影响不容小觑,尽快更新到最新版本!
“没有网络安全,就没有国家安全” ,“ISEC实验室”秉承“我的安全,我做主”的理念,时刻关注行业动态,坚持在网络安全领域不断研究和突破,为网络安全事业的发展保驾护航!