Злоумышленники взломали 1200 серверов Emby и установили на них вредоносный плагин, похищающий учётные данные

Компания Emby, специализирующаяся на медиасерверном программном обеспечении сообщила , что удалённо остановила работу нераскрытого количества серверов своих пользователей, которые были взломаны с помощью известной уязвимости и небезопасной конфигурации административного аккаунта.

“Мы обнаружили вредоносный плагин в вашей системе, который, вероятно, был установлен без вашего ведома. В целях безопасности мы отключили ваш сервер Emby”, – говорит компания в сообщении, добавленном в лог-файлы затронутых серверов.

Хотя компания не назвала точное количество затронутых серверов, один из разработчиков компании опубликовал пост в сообществе Emby под названием “Как мы уничтожили ботнет из 1200 взломанных серверов Emby за 60 секунд”, что позволяет сделать чёткий вывод о масштабе инцидента.

Атаки начались в середине этого месяца, когда злоумышленники стали нацеливаться на приватные серверы Emby, доступные через Интернет, и проникать на те из них, которые разрешали беспарольный администраторский доступ из локальной сети.

Но чтобы получить доступ к уязвимым серверам из внешней сети, хакеры использовали “уязвимость заголовка прокси”. Она позволила “обмануть” серверы, чтобы они вели себя так, будто киберпреступники подключаются из локальной сети. Что и позволило войти без пароля. Уязвимость известна с февраля 2020 года и недавно была исправлена в бета-канале программного обеспечения Emby.

Воспользовавшись уязвимостью, злоумышленникам удалось установить вредоносные плагины на взломанные серверы. Эти плагины были предназначены для сбора учётных данных любых пользователей, подключающихся к скомпрометированным серверам.

“После тщательного анализа и оценки возможных стратегий по устранению последствий команда Emby смогла выпустить обновление для серверов Emby, которое способно обнаружить вредоносный плагин и предотвратить его загрузку”, – сообщает Emby.

Как объяснила Emby, остановка работы затронутых серверов была мерой предосторожности, направленной на отключение вредоносного плагина, а также на смягчение эскалации ситуации с привлечением внимания администраторов.

Компания рекомендует администраторам Emby немедленно удалить вредоносные файлы “helper.dll” или “EmbuHelper.dll” из папки “plugins” и из подпапок “cache” и “data” перед повторным запуском своих серверов. Кроме того, необходимо также заблокировать сетевой доступ к серверу злоумышленников, добавив новую строку “emmm.spxaebjhxtmddsri.xyz 127.0.0.1” в файл “hosts”.

Зараженные серверы также должны быть проверены на наличие недавних изменений, включая:

  • подозрительные учётные записи пользователей;
  • неизвестные процессы;
  • неизвестные сетевые соединения и открытые порты;
  • изменённая конфигурация SSH;
  • изменённые правила брандмауэра.

Ещё компания настоятельно рекомендует изменить все пароли, которые использовались на сервере, а также установить обновление Emby Server 4.7.12, как только оно станет доступно.

Public Release.