针对 Netsarang 相关软件的安全漏洞,可通过金盾准入控制和终端管理系统的三个步骤实现此安全漏洞的高效化管理,批量解决用户网内的安全隐患。
NetSarang 公司在8月7日发布安全公告,称其最近(7月18日)更新的 Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd 五款软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。
五款软件的受影响版本:
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
8月5日五款软件发布新版本,更新日志基本一致,都提到修复 SSH 通道的追踪消息和问题文件 nssock2.dll:
FIX: Unnecessary SSH channel trace messages
FIX: Patched an exploit related to nssock2.dll
Xshell 是一款强大、著名的终端模拟软件,由国外公司 NetSarang 开发,被广泛地用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和 SERIAL 功能,在运维、站长、安全等圈子里有极多受众。
它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能,其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB 脚本和用于显示 2 byte 字符和支持国际语言的 UNICODE 终端。
NetSarang 公司没有解释漏洞的成因,据媒体了解,很可能是该公司遭遇了入侵,发布版本被植入了后门。
有国内用户更新到 Xshell 问题版本。
抓包发现该版本的nssock2.dll 会向陌生域名(*.nylalobghyhirgh.com)发送畸形 DNS 请求。
问题版本的 nssock2.dll 带有官方签名,可能是攻击者窃取了 NetSarang 的签名,或者直接在源码层面进行了植入。
此漏洞可导致用户服务器账号、密码、IP 地址等信息上传至特定服务器,攻击者一旦获取以上信息,可进一步窃取或修改用户服务器的敏感信息,对用户服务器造成较为严重的影响。
金盾君分析认为:
“
针对 Netsarang 相关软件的上述安全漏洞,可通过金盾准入控制和终端管理系统的以下三个步骤实现此安全漏洞的高效化管理,批量解决用户网内的安全隐患。
首先,通过终端安全管理系统的图表分析功能,在软件信息分析页面搜索网内终端安装受影响软件版本的信息,掌握当前网内哪些终端存在安全隐患;
其次,通过准入控制系统的安全测评功能,管理员可要求这部分终端用户安装最新的 Netsarang 相关软件版本,否则不允许其入网,通过此措施强制要求所有隐患终端达到安全要求;
再次,通过终端安全管理系统的应用程序黑白名单功能,将问题版本的进程名称加入黑名单,并备注该进程的 MD5 值,即可在网内所有终端上禁止受影响版本软件的使用。
Netsarang 公司已针对受影响产品发布升级版本,受影响的用户也可自行升级至最新版本以消除漏洞影响。软件下载链接如下:
https://www.netsarang.com/download/software.html
目前国内相关互联网信息办公室已经针对“Xshell 等远程终端管理工具被植入恶意代码”发布了预警提示,由于 Xshell 特别是 Build1322 在国内的使用面很大,敏感信息的泄露可能会导致巨大的安全风险,金盾建议用户尽快检查自己所使用的Xshell版本,并及时采取有效措施。
