Emby ปิดการทำงานเซิร์ฟเวอร์ Media ของผู้ใช้งานที่ถูกโจมตีล่าสุด

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.dll หรือ EmbyHelper.dll ที่อยู่ในโฟลเดอร์ plugins ใน Emby Server Data Folder และจาก subfolder cache และ data ก่อนที่จะเปิดใช้งานเซิร์ฟเวอร์ใหม่อีกครั้ง

ควรบล็อกการเข้าถึงของมัลแวร์ไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยเพิ่ม "emmm.spxaebjhxtmddsri.xyz 127.0.0.1" ในไฟล์ hosts

เซิร์ฟเวอร์ที่ได้รับผลกระทบควรตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งประกอบด้วย

  • บัญชีผู้ใช้งานที่น่าสงสัย
  • Process ที่ไม่รู้จัก
  • การเชื่อมต่อเครือข่ายที่ผิดปกติ และ Port ที่เปิดไว้
  • การตั้งค่า SSH
  • การตั้ง Rules ของ Firewall
  • การเปลี่ยนแปลงรหัสผ่านทั้งหมด

Emby วางแผนที่จะปล่อยอัปเดตความปลอดภัยของเซิร์ฟเวอร์เวอร์ชัน 4.7.12 โดยเร็วที่สุดเพื่อแก้ไขปัญหานี้

แม้ Emby จะไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี แต่นักพัฒนาของ Emby ชื่อ softworkz ได้เพิ่มโพสต์ใหม่ใน community เมื่อวานนี้ที่มีชื่อว่า "วิธีกำจัด BotNet 1200 เซิร์ฟเวอร์ Emby ที่ถูกแฮ็กภายใน 60 วินาที" อย่างไรก็ตาม โพสต์นั้นมีเพียงข้อความว่าขอให้ผู้ใช้งานติดตามเรื่องราวทั้งหมดในเร็ว ๆ นี้

ที่มา: https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/