Gambar: Pembuat Gambar Bing
Emby mengatakan itu dari jarak jauh mematikan sejumlah contoh server media yang dihosting pengguna yang baru-baru ini diretas dengan mengeksploitasi kerentanan yang diketahui sebelumnya dan konfigurasi akun admin yang tidak aman.
“Kami telah mendeteksi plugin berbahaya di sistem Anda yang mungkin telah diinstal tanpa sepengetahuan Anda. [..] Demi keamanan Anda, kami telah mematikan Server Emby Anda sebagai tindakan pencegahan,” perusahaan memberi tahu pengguna tentang server yang terpengaruh dalam entri baru yang ditambahkan ke file log.
Serangan dimulai pada pertengahan Mei 2023 ketika penyerang mulai menargetkan server Emby pribadi yang terpapar Internet dan menyusup ke server yang dikonfigurasi untuk memungkinkan login admin tanpa kata sandi di jaringan lokal.
Untuk mengelabui server agar memberi mereka akses dan mendapatkan server admin ke server yang rentan meskipun mereka mencoba masuk dari luar LAN, pelaku ancaman mengeksploitasi kelemahan yang dijelaskan oleh Emby sebagai “kerentanan tajuk proxy”, yang dikenal sejak paling lambat Februari 2020 dan baru-baru ini ditambal di saluran beta.
Peretas menggunakan akses mereka ke pintu belakang instans Emby yang disusupi dengan memasang plugin berbahaya yang mengambil kredensial semua pengguna yang masuk ke server yang diretas.
“Setelah melakukan analisis dan evaluasi yang cermat terhadap kemungkinan strategi untuk mitigasi, tim Emby dapat meluncurkan pembaruan ke instans Emby Server yang dapat mendeteksi plugin yang dimaksud dan mencegahnya dimuat,” Emby dikatakan.
“Karena tingkat keparahan dan sifat dari situasi ini dan dengan sangat hati-hati kami mencegah server yang terpengaruh untuk memulai kembali setelah deteksi.”
Seperti yang dijelaskan Emby lebih lanjut, mematikan server yang terpengaruh adalah tindakan pencegahan yang bertujuan untuk menonaktifkan plugin berbahaya, serta untuk mengurangi eskalasi situasi dan menarik perhatian admin untuk mengatasi masalah ini secara langsung.
Admin diperingatkan untuk memeriksa aktivitas mencurigakan lainnya
Admin Emby disarankan untuk segera menghapus file berbahaya helper.dll atau EmbuHelper.dll dari folder plugins di folder Folder Data Server Sematkan dan dari subfolder cache dan data sebelum memulai server mereka lagi.
Mereka juga harus memblokir akses malware ke server penyerang dengan menambahkan baris “emmm.spxaebjhxtmddsri.xyz 127.0.0.1” baru di file host mereka.
Server yang dikompromikan juga harus ditinjau untuk perubahan terbaru, termasuk:
- Akun pengguna yang mencurigakan
- Proses tidak diketahui
- Koneksi jaringan tidak dikenal dan port terbuka
- konfigurasi SSH
- aturan firewall
- Ubah semua kata sandi
Emby berencana untuk merilis pembaruan keamanan Emby Server 4.7.12 sesegera mungkin untuk mengatasi masalah tersebut.
Sementara Emby tidak mengungkapkan berapa banyak server yang terkena dampak serangan itu, perangkat lunak pengembang Emby menambahkan a pos komunitas baru kemarin berjudul “Bagaimana kami menurunkan BotNet dari 1200 Server Emby yang diretas dalam waktu 60 detik.”
Namun, postingan tersebut hanya meminta pengguna untuk “berhati-hati dengan cerita lengkap yang akan segera hadir”.
