Emby dit qu’il a fermé à distance un nombre non divulgué d’instances de serveur multimédia hébergées par des utilisateurs qui ont été récemment piratées en exploitant une vulnérabilité déjà connue et une configuration de compte administrateur non sécurisée.

« Nous avons détecté un plugin malveillant sur votre système qui a probablement été installé à votre insu. [..] Pour votre sécurité, nous avons arrêté votre serveur Emby par mesure de précaution », a informé la société aux utilisateurs des serveurs concernés dans de nouvelles entrées ajoutées à les fichiers journaux.

Les attaques ont commencé à la mi-mai 2023 lorsque les attaquants ont commencé à cibler les serveurs Emby privés exposés à Internet et à infiltrer ceux configurés pour autoriser les connexions d’administrateur sans mot de passe sur le réseau local.

Pour inciter les serveurs à leur accorder l’accès et à obtenir des serveurs d’administration sur les serveurs vulnérables même s’ils tentaient de se connecter depuis l’extérieur du réseau local, les acteurs de la menace ont exploité une faille décrite par Emby comme une « vulnérabilité d’en-tête proxy », connue depuis au moins Février 2020 et récemment patché dans le canal bêta.

Les pirates ont utilisé leur accès pour détourner les instances Emby compromises en installant un plugin malveillant qui récupère les informations d’identification de tous les utilisateurs se connectant aux serveurs piratés.

« Après une analyse minutieuse et une évaluation des stratégies possibles d’atténuation, l’équipe Emby a pu publier une mise à jour des instances Emby Server qui est capable de détecter le plugin en question et d’empêcher son chargement », a déclaré Emby.

« En raison de la gravité et de la nature de cette situation et par prudence, nous empêchons les serveurs concernés de redémarrer après la détection. »

Comme Emby l’a expliqué plus en détail, l’arrêt des serveurs concernés était une mesure de précaution visant à désactiver le plugin malveillant, ainsi qu’à atténuer l’escalade immédiate de la situation et à attirer l’attention des administrateurs pour qu’ils traitent directement le problème.

Les administrateurs sont avertis de vérifier toute activité suspecte supplémentaire
Il est conseillé aux administrateurs Emby de supprimer immédiatement les fichiers malveillants helper.dll ou EmbuHelper.dll du dossier plugins dans le dossier de données du serveur Emby et des sous-dossiers de cache et de données avant de redémarrer leurs serveurs.

Ils devraient également bloquer l’accès du malware au serveur des attaquants en ajoutant une nouvelle ligne « emmm.spxaebjhxtmddsri.xyz 127.0.0.1 » dans leur fichier hosts.

Les serveurs compromis doivent également être examinés pour tout changement récent, notamment :

  • Comptes utilisateurs suspects
  • Processus inconnus
  • Connexions réseau inconnues et ports ouverts
  • Paramétrage SSH
  • Règles de pare-feu
  • Changer tous les mots de passe

Emby prévoit de publier une mise à jour de sécurité Emby Server 4.7.12 dès que possible pour résoudre le problème.

Bien qu’Emby n’ait pas révélé le nombre de serveurs touchés par l’attaque, le développeur Emby softworkz a ajouté hier un nouveau message communautaire intitulé « Comment nous avons supprimé un BotNet de 1200 serveurs Emby piratés en 60 secondes ».

Cependant, le message demande uniquement aux utilisateurs de « faire attention à l’histoire complète à venir sous peu ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *