预警知名运维工具曝“后门”,科来建议用户及时处置
Posted 科来
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预警知名运维工具曝“后门”,科来建议用户及时处置相关的知识,希望对你有一定的参考价值。
事件概述
NetSarang公司开发用于服务器系统和软件的管理工具,产品主要包括Xmanager、Xshell、Xftp和Xlpd,由于功能强大,界面友好等优势,其产品被国内运维人员广泛使用。
NetSarang公司近日发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在安全漏洞,据悉其后门原因是NetSarang的Xmanager、Xshell、Xftp、Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码。
事件影响
存在漏洞的的版本会向nylalobghyhirgh.com发起请求,传输敏感数据。具体包含哪些敏感数据还在进一步核实。考虑到该软件的作用和使用的广泛程度,很可能造成大量IT资产重要数据泄露。因此,科来建议用户及时处置。
△通过科来全流量安全分析(TSA)发现程序在请求可疑控制域名的DNS
影响版本
含nssock2.dll:5.0.0.26模块的产品,包括以下软件版本:
Xmanager Enterprise 5 Build 1232 Xmanager 5 Build 1045 Xshell 5 Build 1322
Xshell 5 Build 1325 Xftp 5 Build 1218
Xftp 5 Build 1221 Xlpd 5 Build 1220
处置建议
1、及时排查运维团队(含第三方运维团队)是否使用受影响版本,将受影响版本升级到官方的最新版本;
2、修改服务器密码;
3、检查网内是否存在漏洞利用事件;
内网流量可以通过科来全流量安全分析系统(TSA)和科来网络回溯分析系统(RAS)进行检查。之前已经部署的用户可以通过回查域名的方式查看本单位是否存在信息泄露的情况,通过对nylalobghyhirgh.com域名解析的特征回查,检查网络在过去的一段时间中是否存在漏洞利用事件。一旦发现存储的全流量中存在该域名的访问行为,即可确认内网中哪些终端存在后门的版本,及时发现未处置管理终端。
-END-
科来声明:以上公告系科来针对突发事件给出的建议及指南,发布本公告出于传递信息之目的,科来不为本公告提供任何保障及承诺。
(请在对话低栏回复“案例汇总”以获取所有案例)
以上是关于预警知名运维工具曝“后门”,科来建议用户及时处置的主要内容,如果未能解决你的问题,请参考以下文章