CISA alerta para bug do Plex ativamente explorado após violação do LastPass
13 de Março de 2023

A CISA adicionou uma vulnerabilidade de execução remota de código (RCE) de quase três anos de idade com alta gravidade no Plex Media Server ao seu catálogo de falhas de segurança exploradas em ataques.

Rastreada como CVE-2020-5741 , essa falha de segurança permite que atores mal-intencionados com privilégios de administrador executem código Python arbitrário remotamente em ataques de baixa complexidade que não requerem interação do usuário.

De acordo com um aviso publicado pela equipe de segurança do Plex em maio de 2020, quando corrigiu o bug com o lançamento do Plex Media Server 1.19.3, "os atacantes com acesso de administrador a um Plex Media Server poderiam abusar do recurso Camera Upload para fazer o servidor executar código malicioso".

"Isso poderia ser feito configurando o diretório de dados do servidor para sobrepor o local de conteúdo de uma biblioteca na qual Camera Upload estava habilitado.

Esse problema não poderia ser explorado sem primeiro obter acesso à conta Plex do servidor." Embora a CISA não tenha fornecido nenhuma informação sobre os ataques nos quais o CVE-2020-5741 foi explorado, isso provavelmente está relacionado ao fato de que o LastPass divulgou recentemente que o computador de um engenheiro sênior de DevOps foi invadido no ano passado para instalar um keylogger explorando uma falha de RCE em software de mídia de terceiros.

Os atacantes eventualmente obtiveram acesso às credenciais do engenheiro e ao cofre corporativo do LastPass.

Isso levou a uma enorme violação de dados em agosto de 2022 depois que os atores da ameaça exfiltraram backups de produção do LastPass e backups críticos de bancos de dados.

Embora o LastPass não tenha divulgado qual falha de software foi explorada para invadir o computador do engenheiro, o Ars Technica relatou que o pacote de software explorado no computador doméstico do funcionário foi o Plex.

Coincidentemente, em agosto, o Plex também notificou os clientes de uma violação de dados e pediu que redefinissem suas senhas depois que o LastPass divulgou uma segunda violação de dados.

Na sexta-feira, a CISA também adicionou uma vulnerabilidade crítica de gravidade no VMware's Cloud Foundation (rastreada como CVE-2021-39144 ), explorada na natureza desde o início de dezembro, ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV).

De acordo com uma diretiva operacional vinculativa (BOD 22-01) de novembro de 2021, as agências federais dos EUA agora são obrigadas a proteger seus sistemas contra ataques até 31 de março para bloquear tentativas de ataque que possam visar suas redes explorando as duas falhas.

Embora o BOD 22-01 se aplique apenas a agências federais, a CISA recomendou fortemente que todas as organizações corrigissem essas falhas para se defenderem contra ataques em andamento.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...