安全預警：Xshell 5官方版本被植入後門，更新即中招

被植入後門的Xshell版本

嘶吼8月14日消息，知名伺服器終端管理軟體Xshell在7月18日發布的5.0 Build 1322官方版本被植入後門，用戶下載、更新到該版本均會中招。嘶吼編輯打聽了一圈，身邊有多位朋友受到影響，危害正在評估中，或可能竊取用戶設備信息。

Xshell是一款功能強大的伺服器終端管理軟體，支持SSH1、SSH2、TELNET等協議，由國外公司NetSarang開發，在運維、站長、安全等圈子裡有極多受眾。

NetSarang公司在8月7日發布安全公告，稱其最近更新（7月18日）的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款軟體存在安全漏洞，官方已於8月5日緊急修復，並發布更新版本。目前暫未發現有人利用過漏洞。

五款軟體的受影響版本：

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

8月5日五款軟體發布新版本，更新日誌基本一致，都提到修復SSH通道的追蹤消息和問題文件nssock2.dll：

FIX: Unnecessary SSH channel trace messages

FIX: Patched an exploit related to nssock2.dll

NetSarang公司沒有解釋漏洞的成因，據嘶吼了解，很可能是該公司遭遇了入侵，發布版本被植入後門。

嘶吼編輯獲悉，有國內用戶更新到Xshell問題版本，抓包發現該版本的nssock2.dll會向陌生域名（*.nylalobghyhirgh.com）發送畸形DNS請求。問題版本的nssock2.dll帶有官方簽名，可能是攻擊者竊取了NetSarang的簽名，或者直接在源碼層面進行了植入。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！