Resim: Bing Resim Oluşturucu
Emby, yakın zamanda önceden bilinen bir güvenlik açığından ve güvenli olmayan bir yönetici hesabı yapılandırmasından yararlanılarak saldırıya uğrayan, açıklanmayan sayıda kullanıcı tarafından barındırılan medya sunucusu örneğini uzaktan kapattığını söylüyor.
Şirket, topluluk web sitesinde kullanıcıları “Sunucunuz kapandı ve tekrar başlamayacaksa, sunucunuz bundan etkilenmiş olabilir” uyarısında bulunuyor.
Saldırılar, Mayıs 2023’ün ortalarında, saldırganların İnternet’e açık özel Emby sunucularını hedef almaya ve yerel ağda parola olmadan yönetici oturumlarına izin verecek şekilde yapılandırılmış sunuculara sızmaya başlamasıyla başladı.
Sunucuları kandırarak, LAN dışından oturum açmaya çalışsalar bile güvenlik açığı bulunan sunuculara erişim vermeleri ve yönetici sunucuları kazanmaları için tehdit aktörleri, Emby tarafından “proxy başlığı güvenlik açığı” olarak tanımlanan bir kusurdan yararlandı. Şubat 2020 ve yakın zamanda beta kanalında yama yapıldı.
Bilgisayar korsanları, saldırıya uğramış sunucularda oturum açan tüm kullanıcıların kimlik bilgilerini toplayan kötü amaçlı bir eklenti yükleyerek, güvenliği ihlal edilmiş Emby örneklerinin arka kapısına erişim sağlamak için kullandılar.
Emby, “Azaltma için olası stratejilerin dikkatli bir şekilde analiz edilmesi ve değerlendirilmesinden sonra, Emby ekibi, söz konusu eklentiyi algılayabilen ve yüklenmesini önleyen bir Emby Sunucu örnekleri güncellemesi yayınlamayı başardı” dedi.
“Bu durumun ciddiyeti ve doğası gereği ve çok dikkatli bir şekilde, etkilenen sunucuların tespit edildikten sonra yeniden başlatılmasını engelliyoruz.”
Emby’nin daha fazla açıkladığı gibi, etkilenen sunucuları kapatmak, kötü amaçlı eklentiyi devre dışı bırakmayı ve ayrıca durumun ani yükselişini azaltmayı ve yöneticilerin dikkatini doğrudan sorunu çözmeye çekmeyi amaçlayan bir ihtiyati tedbirdi.
Yöneticiler, ek şüpheli etkinlik olup olmadığını kontrol etmeleri konusunda uyarıldı
Emby yöneticilerinin, sunucularını yeniden başlatmadan önce kötü niyetli helper.dll veya EmbuHelper.dll dosyalarını Emby Sunucusu Veri Klasöründeki eklentiler klasöründen ve önbellek ve veri alt klasörlerinden hemen silmeleri önerilir.
Ayrıca hosts dosyasına yeni bir “emmm.spxaebjhxtmddsri.xyz 127.0.0.1” satırı ekleyerek kötü amaçlı yazılımın saldırganın sunucusuna erişimini engellemeleri gerekir.
Güvenliği ihlal edilmiş sunucular, aşağıdakiler de dahil olmak üzere son değişiklikler açısından da incelenmelidir:
- şüpheli kullanıcı hesapları
- bilinmeyen süreçler
- Bilinmeyen ağ bağlantıları ve açık bağlantı noktaları
- SSH yapılandırması
- Güvenlik duvarı kuralları
- Tüm şifreleri değiştir
Emby, sorunu çözmek için mümkün olan en kısa sürede bir Emby Server 4.7.12 güvenlik güncellemesi yayınlamayı planlıyor.
Emby saldırıda kaç sunucunun etkilendiğini açıklamasa da, Emby geliştiricisi softworkz dün “1200 saldırıya uğramış Emby Sunucusundan oluşan bir BotNet’i 60 saniye içinde nasıl devirdik” başlıklı yeni bir topluluk gönderisi ekledi.
Ancak gönderi, kullanıcılardan yalnızca “yakında gelecek tüm hikayeye dikkat etmelerini” istiyor.