關于NetSarang公司Xshell等多種產品存在后門情況的預警通報

        近期，CNCERT獲悉NetSarang公司旗下的Xmanager、Xshell等多種產品被曝存在后門漏洞（CNVD-2017-21513）。綜合利用該漏洞，攻擊者可能會獲取本機或相關所管理遠程系統的敏感信息，構成信息泄露和運行安全風險。經CNCERT抽樣驗證，已發現我國3萬余個IP地址運行的Xshell等相關軟件疑似存在該后門。現將有關情況通報如下：

        一、漏洞基本情況

       Xshell 是一款應用廣泛的終端模擬軟件，被用于服務器運維和管理，支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。Xshell、Xmanager以及Xlpd、Xftp等為NetSarang公司旗下相關產品。

        本次通報的風險存在于 Xshell、Xlpd、Xmanager、Xftp等軟件安裝目錄下的用于網絡通信的組件 nssock2.dll 模塊，其加載了被標定為后門類型的代碼（樣本hash值為：97363d50a279492fda14cbab53429e75），導致敏感信息被泄露到攻擊者所控制的控制服務器。根據分析，其加載的Shellcode代碼會收集主機信息并通過DNS隧道進行數據傳遞。同時，后門控制者利用算法生成了對應的控制域名，其中一個域名為 nylalobghyhirgh.com。

        二、漏洞影響范圍

        目前存在后門的版本及對應產品包括：Xshell Build 5.0.1322；Xshell Build 5.0.1325；Xmanager Enterprise 5.0 Build 1232；Xmanager 5.0 Build 1045；Xftp 5.0 Build 1218；Xftp 5.0 Build 1221；Xlpd 5.0 Build 1220。

        根據CNCERT監測結果，我國已有3.1萬余個IP地址運行的Xshell等相關軟件疑似存在該后門，這些IP主要位于廣東、上海、北京、福建等省市，占比分別為20.39%、14.43%、12.69%和10.11%。

        三、漏洞修復建議

        目前廠商已經發布了最新版本修復了此漏洞，請及時更新。新版軟件下載地址為：https://www.netsarang.com/download/software.html。