admin Emby, daha evvel bilinen bir güvenlik açığından ve inançsız bir yönetici hesabı yapılandırmasından yararlanılarak kısa müddet evvel akına uğramış kullanıcı tarafından barındırılan birçok medya sunucusu örneğini sayı belirtmeden uzaktan kapattığını açıkladı.
“Sisteminizde muhtemelen bilginiz dışında yüklenmiş olan makus maksatlı bir eklenti tespit ettik ve güvenliğiniz için Emby Sunucunuzu tedbir olarak kapattık.” diyen şirket, etkilenen sunucuların kullanıcılarını günlük belgelerine eklenen yeni girdilerle bilgilendirdi.
Saldırılar birinci olarak Mayıs 2023 ortalarında saldırganların internete açık özel medya sunucularının maksat alınmasıyla ve lokal ağda parola olmadan yönetici girişlerine müsaade verecek biçimde yapılandırılmış sunuculara sızılmasıyla başladı.
Bilgisayar korsanları, taarruza uğrayan sunucularda oturum açan tüm kullanıcıların kimlik bilgilerini toplayan makûs maksatlı eklentiler yükleyerek bu halde art kapılar açmaya çalıştı. Emby tarafından yapılan açıklamaya nazaran, “Dikkatli bir tahlil ve muhtemel hafifletme stratejilerinin değerlendirilmesinden sonra Emby takımı serverlarda kelam konusu eklentiyi tespit edebilen ve yüklenmesini önleyen bir güncelleme” yayınladı.
Kullanıcıların güvenlik gerekçesiyle kapatılan Emby sunucularını tekrar başlatmadan evvel “Emby Server Veri Folder” içinden, eklentiler klasöründen, önbellek ve data alt klasörlerinden helper.dll yahut EmbyHelper.dll evraklarını derhal silmeleri tavsiye edilir. Ayrıyeten hosts evraklarına yeni bir emmm.spxaebjhxtmddsri.xyz 127.0.0.1 satırı eklenerek ziyanlı yazılımların saldırganla bağlantısı engellenebilir.
