Modern technology gives us many things.

Το Emby κλείνει τους διακομιστές πολυμέσων χρηστών που παραβιάστηκαν κατά την πρόσφατη επίθεση

Εικόνα: Bing Image Creator

Η Emby λέει ότι έκλεισε εξ αποστάσεως έναν άγνωστο αριθμό παρουσιών διακομιστών πολυμέσων που φιλοξενήθηκαν από τον χρήστη και οι οποίες παραβιάστηκαν πρόσφατα εκμεταλλευόμενοι μια προηγουμένως γνωστή ευπάθεια και μια μη ασφαλή διαμόρφωση λογαριασμού διαχειριστή.

“Εντοπίσαμε μια κακόβουλη προσθήκη στο σύστημά σας, η οποία πιθανότατα έχει εγκατασταθεί εν αγνοία σας. [..] Για την ασφάλειά σας, έχουμε τερματίσει τη λειτουργία του διακομιστή Emby ως προληπτικό μέτρο», ενημέρωσε η εταιρεία τους χρήστες των επηρεαζόμενων διακομιστών σε νέες καταχωρίσεις που προστέθηκαν στα αρχεία καταγραφής.

Οι επιθέσεις ξεκίνησαν στα μέσα Μαΐου 2023, όταν οι επιτιθέμενοι άρχισαν να στοχεύουν ιδιωτικούς διακομιστές Emby που ήταν εκτεθειμένοι στο Διαδίκτυο και να διεισδύσουν σε αυτούς που είχαν διαμορφωθεί ώστε να επιτρέπουν τη σύνδεση διαχειριστή χωρίς κωδικό πρόσβασης στο τοπικό δίκτυο.

Για να ξεγελάσουν τους διακομιστές ώστε να τους παραχωρήσουν πρόσβαση και να αποκτήσουν διακομιστές διαχειριστή στους ευάλωτους διακομιστές, παρόλο που προσπαθούσαν να συνδεθούν εκτός του LAN, οι φορείς απειλών εκμεταλλεύτηκαν ένα ελάττωμα που περιγράφεται από την Emby ως “ευπάθεια κεφαλίδας διακομιστή μεσολάβησης”, γνωστό από τότε τουλάχιστον Φεβρουάριος 2020 και πρόσφατα διορθώθηκε στο κανάλι beta.

Οι χάκερ χρησιμοποίησαν την πρόσβασή τους για να παρακάμψουν τις παραβιασμένες παρουσίες Emby εγκαθιστώντας ένα κακόβουλο πρόσθετο που συγκεντρώνει τα διαπιστευτήρια όλων των χρηστών που συνδέονται στους παραβιασμένους διακομιστές.

“Μετά από προσεκτική ανάλυση και αξιολόγηση πιθανών στρατηγικών μετριασμού, η ομάδα του Emby μπόρεσε να προωθήσει μια ενημέρωση σε περιπτώσεις διακομιστή Emby που είναι σε θέση να ανιχνεύσει το εν λόγω πρόσθετο και να αποτρέψει τη φόρτωσή του,” Emby είπε.

“Λόγω της σοβαρότητας και της φύσης αυτής της κατάστασης και με άφθονη προσοχή, αποτρέπουμε την επανεκκίνηση των επηρεαζόμενων διακομιστών μετά τον εντοπισμό.”

Όπως εξήγησε περαιτέρω η Emby, ο τερματισμός των διακομιστών που επηρεάστηκαν ήταν ένα προληπτικό μέτρο με στόχο την απενεργοποίηση του κακόβουλου πρόσθετου, καθώς και για τον μετριασμό της άμεσης κλιμάκωσης της κατάστασης και την προσοχή των διαχειριστών για την άμεση αντιμετώπιση του ζητήματος.

Οι διαχειριστές προειδοποιήθηκαν να ελέγξουν για επιπλέον ύποπτη δραστηριότητα

Συνιστάται στους διαχειριστές του Emby να διαγράψουν αμέσως τα κακόβουλα αρχεία helper.dll ή EmbuHelper.dll από το φάκελο plugins στο Φάκελος δεδομένων διακομιστή Emby και από την προσωρινή μνήμη και τους υποφάκελους δεδομένων πριν ξεκινήσουν ξανά τους διακομιστές τους.

Θα πρέπει επίσης να αποκλείσουν την πρόσβαση του κακόβουλου λογισμικού στον διακομιστή των εισβολέων προσθέτοντας μια νέα γραμμή “emmm.spxaebjhxtmddsri.xyz 127.0.0.1” στο αρχείο κεντρικών υπολογιστών τους.

Οι παραβιασμένοι διακομιστές θα πρέπει επίσης να ελέγχονται για τυχόν πρόσφατες αλλαγές, όπως:

  • Ύποπτοι λογαριασμοί χρηστών
  • Άγνωστες διαδικασίες
  • Άγνωστες συνδέσεις δικτύου και ανοιχτές θύρες
  • Διαμόρφωση SSH
  • Κανόνες τείχους προστασίας
  • Αλλάξτε όλους τους κωδικούς πρόσβασης

Η Emby σχεδιάζει να κυκλοφορήσει μια ενημέρωση ασφαλείας Emby Server 4.7.12 το συντομότερο δυνατό για να αντιμετωπίσει το πρόβλημα.

Ενώ η Emby δεν αποκάλυψε πόσοι διακομιστές επηρεάστηκαν στην επίθεση, ο προγραμματιστής Emby softworkz πρόσθεσε ένα νέα ανάρτηση κοινότητας χθες με τίτλο “Πώς καταργήσαμε ένα BotNet με 1200 χακαρισμένους διακομιστές Emby μέσα σε 60 δευτερόλεπτα.”

Ωστόσο, η ανάρτηση ζητά μόνο από τους χρήστες να «προσέχουν για την πλήρη ιστορία που θα έρθει σύντομα».



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση