Af Torben B. Sørensen, 16/08/17
Serveradministrationsprogrammet Xmanager har haft en bagdør, som angribere kan udnytte til at få adgang til kunders it-systemer.
Sikkerhedsfirmaet Kaspersky har opdaget bagdøren, der har været i Xmanager-produkter siden den 18. juli. Den blev fjernet den 5. august. Følgende produkter er ramt:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220
Ifølge Kaspersky er bagdøren inaktiv, indtil bagmændene aktiverer den via en besked sendt med et DNS-opslag. Derefter kan bagmændene fjernstyre den ramte computer og installere og køre software på den.
Kaspersky kender til et enkelt tilfælde, hvor bagdøren er aktiveret. Det skete hos et firma i Hong Kong.
Anbefaling
Hvis man har hentet et eller flere af de sårbare produkter, bør man afinstallere det og hente den nyeste udgave.
Links
- Security Exploit in July 18, 2017 Build
- ShadowPad in corporate networks, blogindlæg fra Kaspersky
- Backdoors Found in Tools Used by Hundreds of Organizations, artikel fra SecurityWeek
- Creepy backdoor found in NetSarang server management software, artikel fra The Register