Emby

画像: Bing Image Creator

Emby によると、以前から知られていた脆弱性と安全でない管理者アカウント構成を悪用して最近ハッキングされた、未公開の多数のユーザーホスト型メディア サーバー インスタンスをリモートでシャットダウンしたという。

「あなたのシステム上で、おそらくあなたの知らないうちにインストールされた悪意のあるプラグインを検出しました。[..]あなたの安全のため、予防措置としてあなたのEmbyサーバーをシャットダウンしました」と同社は、影響を受けるサーバーのユーザーに追加された新しいエントリで通知した。ログファイル。

この攻撃は、攻撃者がインターネットに公開されたプライベート Emby サーバーをターゲットにし、ローカル ネットワーク上でパスワードなしで管理者ログインを許可するように設定されているサーバーに侵入し始めた 2023 年 5 月中旬に始まりました。

サーバーを騙して、LAN の外部からログインしようとした場合でも、脆弱なサーバーへのアクセスを許可し、 管理サーバーを取得するために、攻撃者は、Emby によって「プロキシ ヘッダーの脆弱性」として説明されている欠陥を悪用しました。 2020 年 2 月、最近ベータ チャネルでパッチが適用されました。

ハッカーは、ハッキングされたサーバーにサインインしているすべてのユーザーの資格情報を収集する悪意のあるプラグインをインストールすることにより、侵害された Emby インスタンスをバックドアするためにアクセスを利用しました。

「可能な緩和策を慎重に分析および評価した結果、Emby チームは問題のプラグインを検出してロードを防ぐことができるアップデートを Emby サーバー インスタンスにプッシュすることができました」と Emby 氏は述べています

「この状況の深刻さと性質を考慮し、細心の注意を払って、影響を受けるサーバーが検出後に再起動できないようにしています。」

Emby 氏がさらに説明したように、影響を受けるサーバーのシャットダウンは、悪意のあるプラグインを無効にすることを目的とした予防措置であり、状況の当面の拡大を緩和し、問題に直接対処するよう管理者の注意を引くことを目的としていました。

管理者はさらに不審なアクティビティがないか確認するよう警告

Emby 管理者は、サーバーを再起動する前に、 Emby サーバー データ フォルダー内のプラグイン フォルダーとキャッシュおよびデータ サブフォルダーから悪意のある helper.dll または EmbuHelper.dll ファイルを直ちに削除することをお勧めします。

また、ホスト ファイルに新しい「emmm.spxaebjhxtmddsri.xyz 127.0.0.1」行を追加して、攻撃者のサーバーへのマルウェアのアクセスをブロックする必要があります。

侵害されたサーバーについては、次のような最近の変更も確認する必要があります。

  • 不審なユーザーアカウント
  • 未知のプロセス
  • 不明なネットワーク接続と開いているポート
  • SSH構成
  • ファイアウォールルール
  • すべてのパスワードを変更する

Emby は、この問題に対処するために、Emby Server 4.7.12 セキュリティ アップデートをできるだけ早くリリースする予定です。

Embyはこの攻撃で影響を受けたサーバーの数を明らかにしていないが、Emby開発者のsoftworkzは昨日、「ハッキングされた1200台のEmbyサーバーからなるボットネットを60秒以内にどのように撃破したか」というタイトルの新しいコミュニティ投稿を追加した。

ただし、この投稿ではユーザーに対し「間もなく発表される全容に注目してください」と呼びかけているだけだ。