Emby, Saldırıya Uğramış Medya Sunucularını Uzaktan Kapatıyor

Emby, daha ilkin malum bir emniyet açığından ve güvensiz bir idare edici hesabı yapılandırmasından yararlanılarak kısa süre ilkin saldırıya uğramış kullanıcı tarafınca barındırılan çoğu medya sunucusu örneğini rakam belirtmeden uzaktan kapattığını açıkladı.

“Sisteminizde büyük ihtimalle bilginiz haricinde yüklenmiş olan fena niyetli bir eklenti belirleme ettik ve güvenliğiniz için Emby Sunucunuzu tedbir olarak kapattık.” diyen şirket, etkilenen sunucuların kullanıcılarını günlük dosyalarına eklenen yeni girdilerle bilgilendirdi.

Saldırılar öncelikle Mayıs 2023 ortalarında saldırganların internete aleni hususi medya sunucularının hedef alınmasıyla ve mahalli ağda parola olmadan idare edici girişlerine izin verecek şekilde yapılandırılmış sunuculara sızılmasıyla başladı.

Bilgisayar korsanları, saldırıya uğrayan sunucularda celse açan bütün kullananların hüviyet bilgilerini toplayan fena niyetli eklentiler yükleyerek bu yolla arka kapılar açmaya çalıştı. Emby tarafınca meydana getirilen açıklamaya göre, “Dikkatli bir çözümleme ve ihtimaller içinde hafifletme stratejilerinin değerlendirilmesinden sonrasında Emby kadrosu serverlarda mevzubahis eklentiyi belirleme edebilen ve yüklenmesini engel olan bir güncelleme” yayınladı.

Kullanıcıların emniyet gerekçesiyle kapatılan Emby sunucularını yeniden başlatmadan ilkin “Emby Server Data Folder” içinden, eklentiler klasöründen, önbellek ve veri alt klasörlerinden helper.dll ya da EmbyHelper.dll dosyalarını hemen silmeleri öneri edilir. Ayrıca hosts dosyalarına yeni bir emmm.spxaebjhxtmddsri.xyz 127.0.0.1 satırı eklenerek zararlı yazılımların saldırganla iletişimi engellenebilir.