關于NetSarang公司Xshell等多種(zhǒng)産品存在後(hòu)門情況的預警通報

近期，CNCERT獲悉NetSarang公司旗下的Xmanager、Xshell等多種(zhǒng)産品被(bèi)曝存在後(hòu)門漏洞（CNVD-2017-21513）。綜合利用該漏洞，攻擊者可能(néng)會獲取本機或相關所管理遠程系統的敏感信息，構成(chéng)信息洩露和運行安全風險。經(jīng)CNCERT抽樣(yàng)驗證，已發(fā)現我國(guó)3萬餘個IP地址運行的Xshell等相關軟件疑似存在該後(hòu)門。現將(jiāng)有關情況通報如下：

一、漏洞基本情況

Xshell 是一款應用廣泛的終端模拟軟件，被(bèi)用于服務器運維和管理，支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能(néng)。Xshell、Xmanager以及Xlpd、Xftp等爲NetSarang公司旗下相關産品。

本次通報的風險存在于 Xshell、Xlpd、Xmanager、Xftp等軟件安裝目錄下的用于網絡通信的組件 nssock2.dll 模塊，其加載了被(bèi)标定爲後(hòu)門類型的代碼（樣(yàng)本hash值爲：97363d50a279492fda14cbab53429e75），導緻敏感信息被(bèi)洩露到攻擊者所控制的控制服務器。根據分析，其加載的Shellcode代碼會收集主機信息并通過(guò)DNS隧道(dào)進(jìn)行數據傳遞。同時，後(hòu)門控制者利用算法生成(chéng)了對(duì)應的控制域名，其中一個域名爲 nylalobghyhirgh.com。

二、漏洞影響範圍

目前存在後(hòu)門的版本及對(duì)應産品包括：Xshell Build 5.0.1322；Xshell Build 5.0.1325；Xmanager Enterprise 5.0 Build 1232；Xmanager 5.0 Build 1045；Xftp 5.0 Build 1218；Xftp 5.0 Build 1221；Xlpd 5.0 Build 1220。

根據CNCERT監測結果，我國(guó)已有3.1萬餘個IP地址運行的Xshell等相關軟件疑似存在該後(hòu)門，這(zhè)些IP主要位于廣東、上海、北京、福建等省市，占比分别爲20.39%、14.43%、12.69%和10.11%。

三、漏洞修複建議

目前廠商已經(jīng)發(fā)布了最新版本修複了此漏洞，請及時更新。新版軟件下載地址爲：https://www.netsarang.com/download/software.html。

注：CNCERT應急服務支撐單位網神公司（奇虎360）、綠盟科技司、杭州安恒公司、恒安嘉新公司及時報告了相關分析結果。