In de serverbeheersoftware van softwarebedrijf NetSarang, die onder andere door banken, energiebedrijven en telecombedrijven wordt gebruikt, is een backdoor aangetroffen waarmee aanvallers toegang tot netwerken en vertrouwelijke gegevens kunnen krijgen, zo laat het bedrijf zelf weten.

De backdoor werd door anti-virusbedrijf Kaspersky Lab ontdekt. Aanvallers hebben de backdoor aan verschillende serverbeheerprogramma's van NetSarang toegevoegd die van 18 juli tot en met 4 augustus via de officiële website en als update werden aangeboden. Het gaat om Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 en Xlpd 5.0 Build 1220. De backdoor staat niet standaard ingeschakeld, maar kan op afstand worden geactiveerd. Eenmaal geactiveerd kunnen aanvallers via de backdoor bestanden uploaden, processen starten en informatie opslaan.

Voor zover bekend is de backdoor bij één niet nader genoemd bedrijf in Hong Kong geactiveerd. Hoe de backdoor aan de software kon worden toegevoegd is nog niet bekend. De backdoorcode was met een geldig certificaat van NetSarang gesigneerd en aan alle beschikbare softwarepakketten toegevoegd. Dat kan erop duiden dat de aanvallers de broncode hebben aangepast of de software op de buildservers hebben gepatcht, aldus de onderzoekers.

De gebackdoorde versies van de softwarepakketten zijn op 4 augustus van de officiële server verwijderd. Daarnaast heeft NetSarang op 5 augustus een update uitgebracht die de backdoor verwijdert. Bedrijven krijgen het advies de gebackdoorde versies niet te gebruiken totdat ze de software hebben geüpdatet. Anti-virussoftware zou de backdoor inmiddels ook moeten herkennen. In juni van dit jaar werden tal van bedrijven nog getroffen door de Petya-ransomware, die op systemen werd geïnstalleerd via een backdoor die aan de boekhoudsoftware M.E.Doc was toegevoegd.