Un enginyer no va actualitzar el programari de Plex i va provocar una filtració massiva de dades.

La bretxa massiva a LastPass fou el resultat que un dels seus enginyers no actualitzés Plex al seu ordinador domèstic. Aquest fet es converteix en un recordatori dels perills de no mantenir un programari actualitzat.

El servei de gestió de contrasenyes va revelar la setmana passada com a actors no identificats van aprofitar la informació robada d’un incident anterior que va tenir lloc abans del 12 d’agost del 2022, juntament amb detalls d’una violació de dades de tercers i una vulnerabilitat en un paquet de programari multimèdia de tercers per llançar un segon atac coordinat entre agost i octubre del mateix any.

La intrusió va permetre finalment a l’adversari prendre les dades parcialment xifrades així com informació de clients.

El segon atac es va centrar específicament a un dels quatre enginyers DevOps, apuntant al seu ordinador personal amb un programari maliciós per tal d’obtenir les credencials i violar l’entorn d’emmagatzematge al núvol.

Això, al seu torn, hauria estat possible gràcies a l’explotació d’un error de gairebé tres anys, segons va informar el servei en un comunicat.

La vulnerabilitat en qüestió és CVE-2020-5741 (puntuació CVSS: 7,2), i concretament, es tracta d’una fallada de deserializació que afecta a Plex Media Server de Windows i que permet a un atacant remot autenticat executar codi Python arbitrari en el context de l’usuari actual del sistema operatiu.

Aquest problema permetia a l’atacant amb accés al compte Plex de l’administrador del servidor pujar un arxiu maliciós a través de la funció Camera Upload i fer que el servidor multimèdia l’executés.

La vulnerabilitat va ser descoberta i informada a Plex per Tenable el març del 2020 i va ser solucionada a la versió 1.19.3.2764 publicada el 7 de maig de 2020. La versió actual de Plex Media Server és la 1.31.1.6733.