Ogroman breach u LastPass-u bio je rezultat toga što jedan od njegovih inženjera nije uspio ažurirati Plex na svom kućnom računaru, što je otrežnjujući podsjetnik na opasnosti neuspjeha da softver održi ažurnim.
Služba za upravljanje lozinkama otkrila je prošle sedmice kako su neidentifikovani hakeri iskoristili informacije ukradene iz ranijeg incidenta koji se dogodio prije 12. avgusta 2022. godine, zajedno s detaljima „dostupnim zbog povrede podataka treće strane i ranjivosti u softveru za medije treće strane paket za pokretanje koordiniranog drugog napada” između avgusta i oktobra 2022. godine.
Upad je na kraju omogućio hakeru da ukrade djelomično šifrovane podatke iz trezora lozinki i informacije o klijentima.
Drugi napad je posebno izdvojio jednog od četiri DevOps inženjera, koji je ciljao njihov kućni računar malverom keylogger-a kako bi dobio kredencijale i probio okruženje za pohranu u Cloud-u.
Ovo je, zauzvrat, omogućeno iskorištavanjem skoro tri godine stare, sada zakrpljene greške u Plex-u kako bi se postiglo izvršenje koda na računaru inženjera, rekao je servis za striming medija u izjavi za The Hacker News.
Ranjivost o kojoj je riječ je CVE-2020-5741, sa CVSS rezultatom od 7,2, greška u deserializaciji koja utiče na Plex Media Server na Windows-u i omogućava udaljenom autentifikovanom napadaču da izvrši proizvoljni Python kod u kontekstu trenutnog korisnika operativnog sistema.
„Ovaj problem je omogućio napadaču koji ima pristup Plex nalogu administratora servera da učita maliciozni fajl preko funkcije za otpremanje kamere i da ga medijski server izvrši“ rekao je Plex u upozorenju objavljenom u to vreme.
Problem, koji je Tenable otkrio i prijavio Plex-u u martu 2020. godine, Plex je riješio u verziji 1.19.3.2764 objavljenoj 7. maja 2020. godine. Trenutna verzija Plexa je 1.31.1.6733.
“Nažalost, zaposlenik LastPass-a nikada nije nadogradio svoj softver da bi aktivirao zakrpu” rekao je Plex u izjavi. “Za referencu, verzija koja se bavila ovim eksploatacijom bila je prije otprilike 75 verzija.”
Izvor: The Hacker News
