Ngày 07 tháng 3 năm 2023Ravie Lakshmanan Bảo mật mật khẩu / Cập nhật phần mềm
Vi phạm lớn tại LastPass là kết quả của việc một trong những kỹ sư của nó không cập nhật Plex trên máy tính ở nhà của họ, đây là một lời nhắc nhở nghiêm túc về sự nguy hiểm của việc không cập nhật phần mềm.
Tuần trước, dịch vụ quản lý mật khẩu đã tiết lộ cách những kẻ không xác định đã tận dụng thông tin bị đánh cắp từ một sự cố trước đó diễn ra trước ngày 12 tháng 8 năm 2022, cùng với các chi tiết “có sẵn từ một vụ vi phạm dữ liệu của bên thứ ba và một lỗ hổng trong phần mềm phương tiện của bên thứ ba gói khởi động một cuộc tấn công phối hợp thứ hai” trong khoảng thời gian từ tháng 8 đến tháng 10 năm 2022.
Sự xâm nhập cuối cùng đã cho phép kẻ thù đánh cắp dữ liệu kho mật khẩu được mã hóa một phần và thông tin khách hàng.
Cuộc tấn công thứ hai đặc biệt nhắm vào một trong bốn kỹ sư DevOps, nhắm mục tiêu vào máy tính ở nhà của họ bằng phần mềm độc hại keylogger để lấy thông tin đăng nhập và vi phạm môi trường lưu trữ đám mây.
Đổi lại, điều này được cho là có thể thực hiện được bằng cách khai thác một lỗ hổng gần ba năm tuổi hiện đã được vá trong Plex để thực thi mã trên máy tính của kỹ sư, dịch vụ truyền thông trực tuyến nói với The Hacker News trong một tuyên bố.
Lỗ hổng được đề cập là CVE-2020-5741 (điểm CVSS: 7.2), một lỗ hổng khử lưu huỳnh ảnh hưởng đến Plex Media Server trên Windows, cho phép kẻ tấn công từ xa, được xác thực thực thi mã Python tùy ý trong ngữ cảnh của người dùng hệ điều hành hiện tại.
“Sự cố này cho phép kẻ tấn công có quyền truy cập vào tài khoản Plex của quản trị viên máy chủ để tải lên tệp độc hại thông qua tính năng Tải lên máy ảnh và yêu cầu máy chủ phương tiện thực thi nó,” Plex cho biết trong một lời khuyên được đưa ra vào thời điểm đó.
Thiếu sót được Tenable phát hiện và báo cáo cho Plex vào tháng 3 năm 2020, đã được Plex giải quyết trong phiên bản 1.19.3.2764 phát hành vào ngày 7 tháng 5 năm 2020. Phiên bản hiện tại của Plex Media Server là 1.31.1.6733.
“Thật không may, nhân viên LastPass chưa bao giờ nâng cấp phần mềm của họ để kích hoạt bản vá,” Plex cho biết trong một tuyên bố. “Để tham khảo, phiên bản xử lý khai thác này là khoảng 75 phiên bản trước.”
