Emby informou que desligou remotamente um número não divulgado de instâncias de servidor de mídia hospedadas pelo usuário que foram recentemente invadidas explorando uma vulnerabilidade conhecida anteriormente e uma configuração de conta de administrador insegura.
"Nós detectamos um plugin malicioso em seu sistema que provavelmente foi instalado sem o seu conhecimento.
[...] Para sua segurança, desligamos seu Servidor Emby como medida de precaução", informou a empresa aos usuários dos servidores afetados em novas entradas adicionadas aos arquivos de log.
Os ataques começaram em meados de maio de 2023, quando os invasores começaram a direcionar servidores Emby privados expostos à Internet e infiltrando aqueles configurados para permitir logins de administrador sem senha na rede local.
Para enganar os servidores e obter acesso e servidores de administração para os servidores vulneráveis, mesmo que estivessem tentando fazer login de fora da LAN, os atores da ameaça exploraram uma falha descrita pela Emby como uma "vulnerabilidade de cabeçalho de proxy", conhecida desde pelo menos fevereiro de 2020 e recentemente corrigida no canal beta.
Os hackers usaram seu acesso para backdoor as instâncias comprometidas do Emby, instalando um plugin malicioso que coleta as credenciais de todos os usuários que fazem login nos servidores invadidos.
"Após análise cuidadosa e avaliação de possíveis estratégias de mitigação, a equipe Emby conseguiu lançar uma atualização para as instâncias do Servidor Emby que é capaz de detectar o plugin em questão e impede que ele seja carregado", disse a Emby.
"Devido à gravidade e natureza dessa situação e por abundância de precaução, estamos impedindo que os servidores afetados sejam iniciados novamente após a detecção."
Como a Emby explicou ainda mais, o desligamento dos servidores afetados foi uma medida de precaução visando desativar o plugin malicioso, bem como mitigar a escalada imediata da situação e chamar a atenção dos administradores para lidar diretamente com o problema.
Os administradores do Emby são aconselhados a excluir imediatamente os arquivos helper.dll maliciosos ou EmbyHelper.dll da pasta de plugins na pasta de dados do Servidor Emby e nas subpastas de cache e dados antes de iniciar seus servidores novamente.
Eles também devem bloquear o acesso do malware ao servidor dos invasores adicionando uma nova linha "emmm spxaebjhxtmddsri xyz 127.0.0.1" em seu arquivo hosts.
A Emby planeja lançar uma atualização de segurança do Emby Server 4.7.12 o mais rápido possível para lidar com o problema.
Embora a Emby não tenha revelado quantos servidores foram impactados no ataque, o desenvolvedor da Emby, softworkz, adicionou um novo post na comunidade ontem intitulado "Como derrubamos uma BotNet de 1200 servidores Emby hackeados em 60 segundos."
No entanto, o post apenas pede aos usuários para "ficarem atentos à história completa que virá em breve".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...