Backdoor w oficjalnej aktualizacji oprogramowania wykorzystywanej przez IT na całym świecie

Niepokoi kilka rzeczy:

• nie jest to przypadkowy kod wprowadzony przez roztargnionego programistę, tylko prawdziwy backdoor z krwi i kości, dający możliwość wykonywania kodu przez napastników
• backdoor znalazł się w oficjalnej aktualizacji kilku narzędzi dystrybuowanych przez firmę Netsarang
• znaleziono przynajmniej jedno złośliwe wykorzystanie backdoor-a (pytanie czy w reszcie miejsc w ogóle patrzono…)

Sam Netsarang chwali się swoimi klientami: banki, telco, energetyka, przemysł, ubezpieczenia, produkcja. Dużych klientów jest naprawdę sporo, bo pewnie usprawiedliwia nasz nieco górnolotny tytuł posta…

Gazprom, BNP Paribas, Citigroup, Volvo, ABB, Roche Group. Allianz, Lockheed Martin to tylko kilka wybranych klientów (choć oczywiście nie ma pewności czy używali zainfekowanych wersji oprogramowania).

W każdym razie, jeśli używacie zatem jednego z narzędzi:

• Xmanager Enterprise 5.0
• Xmanager 5.0
• Xshell 5.0
• Xftp 5.0
• Xlpd 5.0

Warto sprawdzić czy nie jesteście zainfekowani.

Dla innych pytanie – czy jesteście przygotowani na scenariusz że dostajecie backdoor oficjalnym kanałem aktualizacji? W przypadku (not)Petya na Ukrainie był realizowany ten sam scenariusz…

–ms