首 页 / 新闻公告 / 公告通知 / 正文内容

关于“远程终端管理工具Xshell”被植入 后门代码事件的情况通报

发布时间:2017-08-25 09:17  点击:331次

  远程终端管理工具Xshell部分版本被植入了后门代码,用户如果使用了被植入后门代码的Xshell工具会导致本机相关的敏感信息被泄露到攻击者所控制的机器。具体情况通报如下:

  一、基本情况

  远程终端管理工具Xshell的Build1322版本在国内的使用范围广泛,敏感信息的泄露可能导致严重的安全风险,目前已确认使用特洛伊化的Xshell的用户机器会向某域名发起请求传输敏感数据。根据互联网开源情报得知,每日的请求过百万,可见感染范围较广。据监测发现,我市多家政务单位的相关设备存在异常请求通讯,初步怀疑相关设备中安装了被植入后门的Xshell工具。经工作发现,该木马后门不具备横向传播能力,但由于该工具使用广泛,情况各单位立即排查本单位所使用的Xshell版本,并根据官方提供的升级包对工具进行升级,更改账号密码,并对系统进行全面排查。

  二、事件受影响范围

  本次事件主要受影响的工具及版本为:

Xshell Build 5.0.1322、 Xshell Build 5.0.1325

Xmanager Enterpride 5.0 Build 1232、Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218、Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

  三、安全建议

  1.用户可以通过查看nssock2.dll的版本来确定是否受此影响,在软件安装目录下找到nssock2.dll文件,右键查看该文件属性,如果版本号为5.0.0.26则存在后门代码;

  2.立即将软件升级到官方的最新版本。

    升级地址:http://www.netsarang.com

回到首页  回到顶部