关于NetSarang公司Xshell等多种产品存在后门情况的预警通报

近期，CNCERT获悉NetSarang公司旗下的Xmanager、Xshell等多种产品被曝存在后门漏洞（CNVD-2017-21513）。综合利用该漏洞，攻击者可能会获取本机或相关所管理远程系统的敏感信息，构成信息泄露和运行安全风险。经CNCERT抽样验证，已发现我国3万余个IP地址运行的Xshell等相关软件疑似存在该后门。现将有关情况通报如下：

一、漏洞基本情况

Xshell 是一款应用广泛的终端模拟软件，被用于服务器运维和管理，支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。Xshell、Xmanager以及Xlpd、Xftp等为NetSarang公司旗下相关产品。

本次通报的风险存在于 Xshell、Xlpd、Xmanager、Xftp等软件安装目录下的用于网络通信的组件 nssock2.dll 模块，其加载了被标定为后门类型的代码（样本hash值为：97363d50a279492fda14cbab53429e75），导致敏感信息被泄露到攻击者所控制的控制服务器。根据分析，其加载的Shellcode代码会收集主机信息并通过DNS隧道进行数据传递。同时，后门控制者利用算法生成了对应的控制域名，其中一个域名为 nylalobghyhirgh.com。

二、漏洞影响范围

目前存在后门的版本及对应产品包括：Xshell Build 5.0.1322；Xshell Build 5.0.1325；Xmanager Enterprise 5.0 Build 1232；Xmanager 5.0 Build 1045；Xftp 5.0 Build 1218；Xftp 5.0 Build 1221；Xlpd 5.0 Build 1220。

根据CNCERT监测结果，我国已有3.1万余个IP地址运行的Xshell等相关软件疑似存在该后门，这些IP主要位于广东、上海、北京、福建等省市，占比分别为20.39%、14.43%、12.69%和10.11%。

三、漏洞修复建议

目前厂商已经发布了最新版本修复了此漏洞，请及时更新。新版软件下载地址为：https://www.netsarang.com/download/software.html。

注：CNCERT应急服务支撑单位网神公司（奇虎360）、绿盟科技司、杭州安恒公司、恒安嘉新公司及时报告了相关分析结果。