Злоумышленники взломали 1200 серверов Emby и установили на них вредоносный плагин, похищающий учётные данные – Люди PRO Media

Злоумышленники взломали 1200 серверов Emby и установили на них вредоносный плагин, похищающий учётные данные

Компания Emby, специализирующаяся на медиасерверном программном обеспечении сообщила , что удалённо остановила работу нераскрытого количества серверов своих пользователей, которые были взломаны с помощью известной уязвимости и небезопасной конфигурации административного аккаунта.

«Мы обнаружили вредоносный плагин в вашей системе, который, вероятно, был установлен без вашего ведома. В целях безопасности мы отключили ваш сервер Emby»,

говорит компания в сообщении, добавленном в лог-файлы затронутых серверов.

Хотя компания не назвала точное количество затронутых серверов, один из разработчиков компании опубликовал пост в сообществе Emby под названием «Как мы уничтожили ботнет из 1200 взломанных серверов Emby за 60 секунд», что позволяет сделать чёткий вывод о масштабе инцидента.

Атаки начались в середине этого месяца, когда злоумышленники стали нацеливаться на приватные серверы Emby, доступные через Интернет, и проникать на те из них, которые разрешали беспарольный администраторский доступ из локальной сети.

Но чтобы получить доступ к уязвимым серверам из внешней сети, хакеры использовали «уязвимость заголовка прокси». Она позволила «обмануть» серверы, чтобы они вели себя так, будто киберпреступники подключаются из локальной сети. Что и позволило войти без пароля. Уязвимость известна с февраля 2020 года и недавно была исправлена в бета-канале программного обеспечения Emby.

Воспользовавшись уязвимостью, злоумышленникам удалось установить вредоносные плагины на взломанные серверы. Эти плагины были предназначены для сбора учётных данных любых пользователей, подключающихся к скомпрометированным серверам.

«После тщательного анализа и оценки возможных стратегий по устранению последствий команда Emby смогла выпустить обновление для серверов Emby, которое способно обнаружить вредоносный плагин и предотвратить его загрузку»,

— сообщает Emby.

Как объяснила Emby, остановка работы затронутых серверов была мерой предосторожности, направленной на отключение вредоносного плагина, а также на смягчение эскалации ситуации с привлечением внимания администраторов.

Компания рекомендует администраторам Emby немедленно удалить вредоносные файлы «helper.dll» или «EmbuHelper.dll» из папки «plugins» и из подпапок «cache» и «data» перед повторным запуском своих серверов. Кроме того, необходимо также заблокировать сетевой доступ к серверу злоумышленников, добавив новую строку «emmm.spxaebjhxtmddsri.xyz 127.0.0.1» в файл «hosts».

Зараженные серверы также должны быть проверены на наличие недавних изменений, включая:

  • подозрительные учётные записи пользователей;
  • неизвестные процессы;
  • неизвестные сетевые соединения и открытые порты;
  • изменённая конфигурация SSH;
  • изменённые правила брандмауэра.

Ещё компания настоятельно рекомендует изменить все пароли, которые использовались на сервере, а также установить обновление Emby Server 4.7.12, как только оно станет доступно.

Источник: secruitylab.ru

Свежий выпуск «Люди PRO»

Свежий выпуск «МУЛЬТИЧЕЛА»

Свежий выпуск «МУЛЬТИЧЕЛ +»

Читайте также