ShadowPad: Backdoor in NetSarang Anwendungssoftware

Warnung: Hackern ist es gelungen, die Server des Softwareanbieters NetSarang zu hacken. Bei den Anwendungen XManager 5 (auch die Enterprise-Variante), XShell 5, Xftp 5 oder Xlpd 5 der koreanischen Firma NetSarang sind wohl bestimmte Builds mit einer Backdoor versehen. Die Software ist in Unternehmen im Einsatz.


Anzeige

Lösungen der koreanischen Firma NetSarang werden auch in deutschen Unternehmen eingesetzt.  Der Anbieter Poe bietet z.B. den XManager als Lösung zur Verbindung eines PC mit beliebigen Linux- und Unix-Systemen an.

Alarm von einem Kunden im Finanzbereich

Kaspersky wurde im Juli 2017 von einem Partner aus der Finanzbereich kontaktiert. Deren IT-Spezialisten waren beunruhigt über mysteriöse DNS (Domain Name Server) Anfragen aus einem System, welches zur Verarbeitung von Finanztransaktionen eingesetzt wurde. Eine Analyse ergab, dass es sich wohl um eine Server Management Software handelt, die von dem oben erwähnten Hersteller stammt und von hunderten Kunden in Industrie, Telekommunikation, im Finanzsektor, im Transportwesen, in der Produktion, im Energiesektor und im Bereich Bildung weltweit eingesetzt wird.

Bereits am 7. August 2017 hat NetSarang auf seiner Internetseite über einen Exploit berichtet. Am 4. August 2017 haben IT-Administratoren von NetSarang in Kooperation mit den Kaspersky Labs einen Einbruch in die IT-Systeme entdeckt.

NetSarang gehackt, Backdoor in Apps eingeschleust

Kaspersky hat das Ganze in diesem Blog-Beitrag dokumentiert. Scheinbar ist es den Hackern gelungen, entweder die Server zum Erstellen und Verteilen der Software an Endkunden (oder ggf. sogar den Sourcecode) zu kompromittieren. Oder die Hacker haben Anwendungen von NetSarang gepatcht und so die Backdoor eingefügt. Jedenfalls sind die betreffenden Anwendungen mit gültigen Zertifikaten von NetSarang signiert, enthalten aber eine Backdoor.

Wird die Backdoor aktiviert, können Angreifer weiteren Schadcode auf die Systeme herunterladen oder Daten stehlen – die Backdoor hat die Funktion eines Trojaners. So prominent platziert, öffnet dies den Angreifern natürlich Tür und Tor, um auf sensitive Firmeninformationen zuzugreifen.

Welche Software ist betroffen?

NetSarang listet auf seiner Internetseite in diesem Beitrag die folgenden Produkte auf, die durch den Trojaner mit einer Backdoor versehen wurden:

  • Xmanager Enterprise 5.0 Build 1232
  • Xmanager 5.0 Build 1045
  • Xshell 5.0 Build 1322
  • Xftp 5.0 Build 1218
  • Xlpd 5.0 Build 1220

Die obigen Builds wurden bereits am 18. Juli 2017 als Updates auf den Build-Servern freigegeben und wohl an Kunden verteilt. Software mit Build-Nummern, die niedriger oder höher sind, sind nicht betroffenen.

NetSarang schreibt, dass nur ein Fall in Hong Kong gefunden wurde, wo die Software mit der Backdoor verwendet wurde. Da aber ein relativ langer Zeitraum zwischen der Auslieferung der Build und der Entdeckung der Backdoor liegt, bin ich mir nicht sicher, ob nicht weitere Kunden betroffen waren/sind.

Firmen, die eine Software mit den oben genannten Builds verwenden, sollten dringend auf deren Verwendung verzichten. NetSarang gibt an, dass man über Help -> Check for Updates oder die Downloadseite aktualisierte Produktversionen (Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222 und Xlpd Build 1224) herunterladen könne. Sobald die Software aktualisiert ist, sollte die Backdoor verschwunden sein.


Anzeige

NetSarang hat zudem die Antivirus-Hersteller informiert, so dass deren Produkte die betreffenden Schad-Anwendungen erkennen sollten. Abschließende Frage: Hat jemand von meinen Blog-Lesern Software von NetSarang im Einsatz und war er von der Backdoor betroffen? (via)

Nachtrag: Bei heise.de gibt es inzwischen diesen deutschsprachigen Beitrag zum Thema.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.