安全预警|多款远程管理产品源码被植入后门，危险再次袭来

Xmanager、Xshell、Xftp为NetSarang公司开发，主要应用于访问和管理远程服务器。

NetSarang公司在8月7日发布安全公告，称其最近更新（7月18日）的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd等软件存在安全漏洞，官方已于8月5日紧急修复，并发布更新版本。

据分析，Xmanager、Xshell、Xftp等软件下的“nssock2.dll”模块源码被植入后门。（nssock2.dll 为Xmanager、Xshell、Xftp等软件使用的动态链接库文件）。“nssock2.dll”带有官方数字签名，猜测可能是攻击者窃取了NetSarang的签名，或者直接在源码层面进行了植入，也不排除有内部人员对上述代码做了篡改。

从样本中发现可疑控制域名

通过抓包发现的程序在请求可疑控制域名的DNS请求

影响版本

nssock2.dll: 5.0.0.26

影响软件

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322/1325

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

由于官网只提供最新版本下载，具体受影响的版本只能从非官网下载站获取，暂时无法判断具体所有受影响版本，可以参考如下方法检查是否受影响。

检查方式

找到软件安装目录，找到“nssock2.dll”文件，右键查看属性，查看文件版本是否是5.0.0.26，如果是可能存在后门。

解决方案

1.卸载软件

2.升级到最新版本，升级地址：https://www.netsarang.com/download/software.html