• 돌아가기
  • 아래로
  • 위로
  • 목록
  • 댓글
보안

Emby 보안 권고 - 2023년 5월 25일

달소 달소 128

0

0
출처 https://emby.media/support/articles/advisory-23-05.html

Emby 사용자분들이라면 참고하셔야할것같습니다.

 

적용 가능성

이 문서는 다음 증상 중 하나 이상이 발생하는 경우에 적용됩니다.

  • Emby Server가 2023-05-25에 종료되었습니다.
  • Emby Server는 2023-05-25 이후로 더 이상 시작되지 않습니다.
  • Emby Server 로그에 다음 메시지가 표시됩니다. 시스템에서 사용자 모르게 설치되었을 가능성이 있는 악성 플러그인을 감지했습니다. 진행 방법에 대한 자세한 내용은 https://emby.media/support/articles/advisory-23-05.html을 참조하십시오 . 귀하의 안전을 위해 예방 조치로 귀하의 Emby 서버를 종료했습니다 . 참고: 귀하의 서버는 당사에서 직접 액세스한 적이 없습니다. 표준 업데이트 메커니즘을 사용했습니다.
  • Windows 설치 시 Windows 이벤트 로그에 Source=".NET Runtime", EventId=1025위의 이벤트 세부 정보와 동일한 텍스트가 있는 오류 항목이 표시됩니다.

배경

2023년 5월 중순부터 해커는 공용 인터넷을 통해 액세스할 수 있고 관리 사용자 계정에 대해 안전하지 않은 구성을 가진 Emby Server의 사용자 호스팅 인스턴스에 침투했습니다. 최근 베타 채널에서 수정된 "프록시 헤더 취약점"과 결합하여 공격자가 해당 시스템에 대한 관리 액세스 권한을 얻을 수 있었습니다. 결국 이것은 공격자가 Emby Server의 실행 프로세스에 백도어를 설정하는 자체 사용자 지정 플러그인을 설치할 수 있게 했습니다.

완화를 위한 가능한 전략을 신중하게 분석하고 평가한 후 Emby 팀은 문제의 플러그인을 감지하고 로드되는 것을 방지할 수 있는 Emby 서버 인스턴스에 대한 업데이트를 푸시할 수 있었습니다. 이 상황의 심각성과 특성으로 인해 모든 데이터 및 사용자 계정이 타협. 주어진 상황은 관리자의 직접적인 조치와 평가가 필요하므로 플러그인을 비활성화하고 상황이 악화되는 것을 방지하는 동시에 동시에 서버를 종료하고 추가 시작을 방지하는 것이 가장 적합한 조치라고 판단했습니다. 주제에 대한 관리자의 관심을 끕니다.

플러그인을 분석한 결과 해커가 제어하는 ​​외부 서버에 성공적으로 로그인할 때마다 암호를 포함한 로그인 자격 증명을 전달하고 있는 것으로 나타났습니다.

취해야 할 조치

  • helper.dll다음과 같이 제공되는 플러그인 .dll 파일을 삭제합니다.EmbyHelper.dll
    • 기본 위치는 pluginsEmby programdata폴더 아래의 폴더입니다.
    • 또한 살펴보고 cache하위 data폴더
  • 서버 시스템 etc/hosts 파일에 항목을 추가하십시오: emmm.spxaebjhxtmddsri.xyz 127.0.0.1 이것은 맬웨어가 통신하는 제어 서버의 호스트 이름입니다.
  • 모든 Emby Server 사용자에게 새 암호를 할당합니다.
  • 비밀번호 없는 로컬 로그인 허용 안함
  • 사용자가 빈 비밀번호를 가지고 있지 않은지 확인

다음을 위해 서버 시스템을 검토하십시오.

  • 의심스러운 사용자 계정
  • 알 수 없는 프로세스
  • 알 수 없는 네트워크 연결 및 열린 포트
  • SSH 구성
  • 방화벽 규칙
  • 모든 비밀번호 변경
  • 필요한 노력과 시스템의 다른 용도에 따라 emby 구성을 백업하고 시스템을 다시 설정하는 것이 좋습니다.

엠비 서버 시작하기

위의 작업을 수행한 후(및 이후에만):

  • 외부 네트워크 액세스 비활성화
  • emby 폴더 아래의 다음 폴더로 이동합니다 programdataprogramdata/plugins/configurations
    • 이름이 지정된 파일을 찾아 ReadyState.xml삭제합니다.
    • 'EmbyScripterX.xml'이라는 파일을 찾아 삭제합니다(있는 경우).
  • Emby 서버 시작
  • 이제 위에서 언급한 모든 사용자 계정 변경을 수행합니다.
  • 보안 재검토 - 모든 Emby 설정, 특히 네트워크 설정을 검토하고 보안을 최대한 강화합니다.
  • 공용 네트워크 액세스 다시 활성화
    • IP 주소, 포트 또는 DNS 이름 변경 고려(해당하는 모든 항목)

Emby 서버 4.7.12 보안 업데이트

  • 이 업데이트를 확인하고 제공되는 즉시 설치하십시오.

 

 

신고공유스크랩
0

댓글 쓰기 권한이 없습니다. 로그인

취소 댓글 등록

신고

"님의 댓글"

이 댓글을 신고하시겠습니까?

댓글 삭제

"님의 댓글"

삭제하시겠습니까?


목록

공유

facebooktwitterpinterestbandkakao story