![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Warnung: Hackern ist es gelungen, die Server des Softwareanbieters NetSarang zu hacken. Bei den Anwendungen XManager 5 (auch die Enterprise-Variante), XShell 5, Xftp 5 oder Xlpd 5 der koreanischen Firma NetSarang sind wohl bestimmte Builds mit einer Backdoor versehen. Die Software ist in Unternehmen im Einsatz.<\/p>\n
<\/p>\n
Kaspersky wurde im Juli 2017 von einem Partner aus der Finanzbereich kontaktiert. Deren IT-Spezialisten waren beunruhigt \u00fcber mysteri\u00f6se DNS (Domain Name Server) Anfragen aus einem System, welches zur Verarbeitung von Finanztransaktionen eingesetzt wurde. Eine Analyse ergab, dass es sich wohl um eine Server Management Software handelt, die von dem oben erw\u00e4hnten Hersteller stammt und von hunderten Kunden in Industrie, Telekommunikation, im Finanzsektor, im Transportwesen, in der Produktion, im Energiesektor und im Bereich Bildung weltweit eingesetzt wird.<\/p>\n Bereits am 7. August 2017 hat NetSarang auf seiner Internetseite \u00fcber einen Exploit berichtet. Am 4. August 2017 haben IT-Administratoren von NetSarang in Kooperation mit den Kaspersky Labs einen Einbruch in die IT-Systeme entdeckt.<\/p>\n Kaspersky hat das Ganze in diesem Blog-Beitrag<\/a> dokumentiert. Scheinbar ist es den Hackern gelungen, entweder die Server zum Erstellen und Verteilen der Software an Endkunden (oder ggf. sogar den Sourcecode) zu kompromittieren. Oder die Hacker haben Anwendungen von NetSarang gepatcht und so die Backdoor eingef\u00fcgt. Jedenfalls sind die betreffenden Anwendungen mit g\u00fcltigen Zertifikaten von NetSarang signiert, enthalten aber eine Backdoor.<\/p>\n Wird die Backdoor aktiviert, k\u00f6nnen Angreifer weiteren Schadcode auf die Systeme herunterladen oder Daten stehlen \u2013 die Backdoor hat die Funktion eines Trojaners. So prominent platziert, \u00f6ffnet dies den Angreifern nat\u00fcrlich T\u00fcr und Tor, um auf sensitive Firmeninformationen zuzugreifen.<\/p>\n NetSarang listet auf seiner Internetseite in diesem Beitrag die folgenden Produkte auf, die durch den Trojaner mit einer Backdoor versehen wurden:<\/p>\n Die obigen Builds wurden bereits am 18. Juli 2017 als Updates auf den Build-Servern freigegeben und wohl an Kunden verteilt. Software mit Build-Nummern, die niedriger oder h\u00f6her sind, sind nicht betroffenen.<\/p>\n NetSarang schreibt, dass nur ein Fall in Hong Kong gefunden wurde, wo die Software mit der Backdoor verwendet wurde. Da aber ein relativ langer Zeitraum zwischen der Auslieferung der Build und der Entdeckung der Backdoor liegt, bin ich mir nicht sicher, ob nicht weitere Kunden betroffen waren\/sind.<\/p><\/blockquote>\n Firmen, die eine Software mit den oben genannten Builds verwenden, sollten dringend auf deren Verwendung verzichten. NetSarang gibt an, dass man \u00fcber Help -> Check for Updates oder die Downloadseite<\/a> aktualisierte Produktversionen (Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222 und Xlpd Build 1224) herunterladen k\u00f6nne. Sobald die Software aktualisiert ist, sollte die Backdoor verschwunden sein.<\/p>\n NetSarang hat zudem die Antivirus-Hersteller informiert, so dass deren Produkte die betreffenden Schad-Anwendungen erkennen sollten. Abschlie\u00dfende Frage: Hat jemand von meinen Blog-Lesern Software von NetSarang im Einsatz und war er von der Backdoor betroffen? (via<\/a>)<\/p>\n Nachtrag: Bei heise.de gibt es inzwischen diesen deutschsprachigen Beitrag<\/a> zum Thema.<\/p>\n","protected":false},"excerpt":{"rendered":" Warnung: Hackern ist es gelungen, die Server des Softwareanbieters NetSarang zu hacken. Bei den Anwendungen XManager 5 (auch die Enterprise-Variante), XShell 5, Xftp 5 oder Xlpd 5 der koreanischen Firma NetSarang sind wohl bestimmte Builds mit einer Backdoor versehen. Die … Weiterlesen L\u00f6sungen der koreanischen Firma NetSarang<\/a> werden auch in deutschen Unternehmen eingesetzt.\u00a0 Der Anbieter Poe<\/a> bietet z.B. den XManager als L\u00f6sung zur Verbindung eines PC mit beliebigen Linux- und Unix-Systemen an.<\/p>\n
Alarm von einem Kunden im Finanzbereich<\/h2>\n
NetSarang gehackt, Backdoor in Apps eingeschleust<\/h2>\n
Welche Software ist betroffen?<\/h2>\n
\n