29/05/23
Компания Emby, специализирующаяся на медиасерверном программном обеспечении сообщила, что удалённо остановила работу нераскрытого количества серверов своих пользователей, которые были взломаны с помощью известной уязвимости и небезопасной конфигурации административного аккаунта.
«Мы обнаружили вредоносный плагин в вашей системе, который, вероятно, был установлен без вашего ведома. В целях безопасности мы отключили ваш сервер Emby», — говорит компания в сообщении, добавленном в лог-файлы затронутых серверов.
Хотя компания не назвала точное количество затронутых серверов, один из разработчиков компании опубликовал пост в сообществе Emby под названием «Как мы уничтожили ботнет из 1200 взломанных серверов Emby за 60 секунд», что позволяет сделать чёткий вывод о масштабе инцидента.
Атаки начались в середине этого месяца, когда злоумышленники стали нацеливаться на приватные серверы Emby, доступные через Интернет, и проникать на те из них, которые разрешали беспарольный администраторский доступ из локальной сети, пишет Securitylab.
Но чтобы получить доступ к уязвимым серверам из внешней сети, хакеры использовали «уязвимость заголовка прокси». Она позволила «обмануть» серверы, чтобы они вели себя так, будто киберпреступники подключаются из локальной сети. Что и позволило войти без пароля. Уязвимость известна с февраля 2020 года и недавно была исправлена в бета-канале программного обеспечения Emby.
Воспользовавшись уязвимостью, злоумышленникам удалось установить вредоносные плагины на взломанные серверы. Эти плагины были предназначены для сбора учётных данных любых пользователей, подключающихся к скомпрометированным серверам.
«После тщательного анализа и оценки возможных стратегий по устранению последствий команда Emby смогла выпустить обновление для серверов Emby, которое способно обнаружить вредоносный плагин и предотвратить его загрузку», — сообщает Emby.
Как объяснила Emby, остановка работы затронутых серверов была мерой предосторожности, направленной на отключение вредоносного плагина, а также на смягчение эскалации ситуации с привлечением внимания администраторов.
Компания рекомендует администраторам Emby немедленно удалить вредоносные файлы «helper.dll» или «EmbuHelper.dll» из папки «plugins» и из подпапок «cache» и «data» перед повторным запуском своих серверов. Кроме того, необходимо также заблокировать сетевой доступ к серверу злоумышленников, добавив новую строку «emmm.spxaebjhxtmddsri.xyz 127.0.0.1» в файл «hosts».
Зараженные серверы также должны быть проверены на наличие недавних изменений, включая:
- подозрительные учётные записи пользователей;
- неизвестные процессы;
- неизвестные сетевые соединения и открытые порты;
- изменённая конфигурация SSH;
- изменённые правила брандмауэра.
Ещё компания настоятельно рекомендует изменить все пароли, которые использовались на сервере, а также установить обновление Emby Server 4.7.12, как только оно станет доступно.
