แจ้งเตือน Backdoor บนซอฟต์แวร์ Xmanager และ Xshell จาก NetSarang
นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เปิดเผยการค้นพบ backdoor "Shadowpad" หรือช่องทางลับบนซอฟต์แวร์จัดการเซิร์ฟเวอร์จาก NetSarang (อาทิ Xmaanger, Xshell)
Backdoor ดังกล่าวนั้นซ่อนอยู่ในไฟล์ nssock2.dll ซึ่งเมื่อถูกเริ่มการทำงาน มันจะทำการติดต่อไปยัง C&C server ผ่านโปรโตคอล DNS โดยเข้ารหัสข้อมูลและคำสั่งที่มีการรับส่ง ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่ซอฟต์แวร์มีการเชื่อมต่อและส่งกลับไปให้ผู้โจมตีได้
จากการวิเคราะห์เบื้องต้นนั้นเชื่อว่า ผู้โจมตีน่าจะมีการเข้าถึงระบบของ Netsarang เพื่อแอบใส่ backdoor เข้าไปในช่วงที่มีการพัฒนาซอฟต์แวร์ซึ่งส่งผลให้ลายเซ็นต์ดิจิตอลของซอฟต์แวร์นั้นไม่ถูกเปลี่ยนแปลง Kaspersky ยังตรวจพบความเหมือนกันของโค้ดที่มีการใช้งานเมื่อเปรียบเทียบกับมัลแวร์อย่าง PlugX และ Winnti ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์จีน
เวอร์ชันของซอฟต์แวร์ที่ได้รับผลกระทบได้แก่:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220
Recommendation : แนะนำให้ตรวจสอบเวอร์ชันที่ใช้งานอยู่และอัพเดตโดยด่วน หากตรวจพบว่าใช้งานเวอร์ชันที่น่าจะมี backdoor แนะนำให้ทำการเปลี่ยนรหัสผ่านในทุกๆ ระบบที่เคยเชื่อมต่อด้วย
ที่มา : theregister
You must be logged in to post a comment.