CRITICAL🇬🇧 English

CVE-2017-20203

NetSarang — złośliwy backdoor DNS w bibliotece nssock2.dll (atak supply chain)

CVSS 9.3v4.0pub. 2025-10-09upd. 2026-04-15

Produkty NetSarang (Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd) w określonych buildach zawierały złośliwą bibliotekę nssock2.dll implementującą wieloetapowy backdoor oparty na DNS. Podatność jest krytyczna, ponieważ umożliwia atakującemu pełne zdalne wykonanie kodu (RCE), eksfiltrację danych oraz uzyskanie trwałego dostępu do zaatakowanego systemu.

Pokaż oryginał (EN)

NetSarang Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, and Xlpd 5.0 Build 1220 contain a malicious nssock2.dll that implements a multi-stage, DNS-based backdoor. The dormant library contacts a C2 DNS server via a specially crafted TXT record for a month‑generated domain. After receiving a decryption key, it then downloads and executes arbitrary code, creates an encrypted virtual file system (VFS) in the registry, and grants the attacker full remote code execution, data exfiltration, and persistence. NetSarang released builds for each product line that remediated the compromise: Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222, and Xlpd Build 1224. Kaspersky Lab identified an instance of exploitation in the wild in August 2017.

🤖 Analiza AI
Jak działa

Zainfekowana biblioteka nssock2.dll dołączona do oficjalnych buildów produktów NetSarang działała jako uśpiony implant. Po aktywacji nawiązywała kontakt z serwerem C2 poprzez specjalnie spreparowane rekordy TXT dla domeny generowanej na podstawie bieżącego miesiąca. Po otrzymaniu klucza deszyfrującego biblioteka pobierała i uruchamiała dowolny kod, tworzyła zaszyfrowany wirtualny system plików (VFS) w rejestrze systemowym oraz zapewniała atakującemu trwały dostęp. Mechanizm DNS-based C2 pozwalał ukryć złośliwą komunikację przed typowymi narzędziami detekcji.

Skutki

Atakujący uzyskuje pełne zdalne wykonanie kodu (RCE) na zainfekowanej maszynie, możliwość eksfiltracji danych oraz trwałą obecność w systemie (persistence) za pośrednictwem zaszyfrowanego VFS w rejestrze.

Mitygacja

Należy niezwłocznie zaktualizować produkty NetSarang do następujących poprawionych buildów: Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222, Xlpd Build 1224. Dodatkowo zaleca się przegląd rejestru systemowego oraz ruchu DNS pod kątem śladów aktywności backdoora na systemach, na których zainstalowane były podatne buildy.

Kogo dotyczy

NetSarang Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, Xlpd 5.0 Build 1220.

Uwagi

Atak stanowi przykład kompromitacji łańcucha dostaw (supply chain compromise) — złośliwy kod został wbudowany w oficjalne buildy oprogramowania dystrybuowane przez producenta. Kaspersky Lab potwierdził przypadki exploitacji w środowiskach produkcyjnych w sierpniu 2017 roku. Złośliwa biblioteka jest powiązana z incydentem opisywanym przez Kaspersky Lab jako ShadowPad.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje