近期，CNCERT獲悉NetSarang公司旗下的Xmanager、Xshell等多種產(chǎn)品被曝存在后門漏洞（CNVD-2017-21513）。綜合利用該漏洞，攻擊者可能會獲取本機(jī)或相關(guān)所管理遠(yuǎn)程系統(tǒng)的敏感信息，構(gòu)成信息泄露和運行安全風(fēng)險。經(jīng)CNCERT抽樣驗證，已發(fā)現(xiàn)我國3萬余個IP地址運行的Xshell等相關(guān)軟件疑似存在該后門?，F(xiàn)將有關(guān)情況通報如下：

一、漏洞基本情況

Xshell 是一款應(yīng)用廣泛的終端模擬軟件，被用于服務(wù)器運維和管理，支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。Xshell、Xmanager以及Xlpd、Xftp等為NetSarang公司旗下相關(guān)產(chǎn)品。

本次通報的風(fēng)險存在于 Xshell、Xlpd、Xmanager、Xftp等軟件安裝目錄下的用于網(wǎng)絡(luò)通信的組件 nssock2.dll 模塊，其加載了被標(biāo)定為后門類型的代碼（樣本hash值為：97363d50a279492fda14cbab53429e75），導(dǎo)致敏感信息被泄露到攻擊者所控制的控制服務(wù)器。根據(jù)分析，其加載的Shellcode代碼會收集主機(jī)信息并通過DNS隧道進(jìn)行數(shù)據(jù)傳遞。同時，后門控制者利用算法生成了對應(yīng)的控制域名，其中一個域名為 nylalobghyhirgh.com。

二、漏洞影響范圍

目前存在后門的版本及對應(yīng)產(chǎn)品包括：Xshell Build 5.0.1322；Xshell Build 5.0.1325；Xmanager Enterprise 5.0 Build 1232；Xmanager 5.0 Build 1045；Xftp 5.0 Build 1218；Xftp 5.0 Build 1221；Xlpd 5.0 Build 1220。

根據(jù)CNCERT監(jiān)測結(jié)果，我國已有3.1萬余個IP地址運行的Xshell等相關(guān)軟件疑似存在該后門，這些IP主要位于廣東、上海、北京、福建等省市，占比分別為20.39%、14.43%、12.69%和10.11%。

三、漏洞修復(fù)建議

目前廠商已經(jīng)發(fā)布了最新版本修復(fù)了此漏洞，請及時更新。新版軟件下載地址為：https://www.netsarang.com/download/software.html。

注：CNCERT應(yīng)急服務(wù)支撐單位網(wǎng)神公司（奇虎360）、綠盟科技司、杭州安恒公司、恒安嘉新公司及時報告了相關(guān)分析結(jié)果。