27.05.2023 | Злоумышленники взломали 1200 серверов Emby и установили на них вредоносный плагин, похищающий учётные данные |
Компания Emby , специализирующаяся на медиасерверном программном обеспечении сообщила , что удалённо остановила работу нераскрытого количества серверов своих пользователей, которые были взломаны с помощью известной уязвимости и небезопасной конфигурации административного аккаунта. «Мы обнаружили вредоносный плагин в вашей системе, который, вероятно, был установлен без вашего ведома. В целях безопасности мы отключили ваш сервер Emby», — говорит компания в сообщении, добавленном в лог-файлы затронутых серверов. Хотя компания не назвала точное количество затронутых серверов, один из разработчиков компании опубликовал пост в сообществе Emby под названием «Как мы уничтожили ботнет из 1200 взломанных серверов Emby за 60 секунд», что позволяет сделать чёткий вывод о масштабе инцидента. Атаки начались в середине этого месяца, когда злоумышленники стали нацеливаться на приватные серверы Emby, доступные через Интернет, и проникать на те из них, которые разрешали беспарольный администраторский доступ из локальной сети. Но чтобы получить доступ к уязвимым серверам из внешней сети, хакеры использовали «уязвимость заголовка прокси». Она позволила «обмануть» серверы, чтобы они вели себя так, будто киберпреступники подключаются из локальной сети. Что и позволило войти без пароля. Уязвимость известна с февраля 2020 года и недавно была исправлена в бета-канале программного обеспечения Emby. Воспользовавшись уязвимостью, злоумышленникам удалось установить вредоносные плагины на взломанные серверы. Эти плагины были предназначены для сбора учётных данных любых пользователей, подключающихся к скомпрометированным серверам. «После тщательного анализа и оценки возможных стратегий по устранению последствий команда Emby смогла выпустить обновление для серверов Emby, которое способно обнаружить вредоносный плагин и предотвратить его загрузку», — сообщает Emby. Как объяснила Emby, остановка работы затронутых серверов была мерой предосторожности, направленной на отключение вредоносного плагина, а также на смягчение эскалации ситуации с привлечением внимания администраторов. Компания рекомендует администраторам Emby немедленно удалить вредоносные файлы «helper.dll» или «EmbuHelper.dll» из папки «plugins» и из подпапок «cache» и «data» перед повторным запуском своих серверов. Кроме того, необходимо также заблокировать сетевой доступ к серверу злоумышленников, добавив новую строку «emmm.spxaebjhxtmddsri.xyz 127.0.0.1» в файл «hosts». Зараженные серверы также должны быть проверены на наличие недавних изменений, включая:
Ещё компания настоятельно рекомендует изменить все пароли, которые использовались на сервере, а также установить обновление Emby Server 4.7.12, как только оно станет доступно. |
Проверить безопасность сайта