Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย
โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ
การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน
Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า
โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์
หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก
เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง
เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้
แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.