A CISA adicionou uma vulnerabilidade de execução remota de código (RCE) de quase três anos de idade com alta gravidade no Plex Media Server ao seu catálogo de falhas de segurança exploradas em ataques.
Rastreada como
CVE-2020-5741
, essa falha de segurança permite que atores mal-intencionados com privilégios de administrador executem código Python arbitrário remotamente em ataques de baixa complexidade que não requerem interação do usuário.
De acordo com um aviso publicado pela equipe de segurança do Plex em maio de 2020, quando corrigiu o bug com o lançamento do Plex Media Server 1.19.3, "os atacantes com acesso de administrador a um Plex Media Server poderiam abusar do recurso Camera Upload para fazer o servidor executar código malicioso".
"Isso poderia ser feito configurando o diretório de dados do servidor para sobrepor o local de conteúdo de uma biblioteca na qual Camera Upload estava habilitado.
Esse problema não poderia ser explorado sem primeiro obter acesso à conta Plex do servidor." Embora a CISA não tenha fornecido nenhuma informação sobre os ataques nos quais o
CVE-2020-5741
foi explorado, isso provavelmente está relacionado ao fato de que o LastPass divulgou recentemente que o computador de um engenheiro sênior de DevOps foi invadido no ano passado para instalar um keylogger explorando uma falha de RCE em software de mídia de terceiros.
Os atacantes eventualmente obtiveram acesso às credenciais do engenheiro e ao cofre corporativo do LastPass.
Isso levou a uma enorme violação de dados em agosto de 2022 depois que os atores da ameaça exfiltraram backups de produção do LastPass e backups críticos de bancos de dados.
Embora o LastPass não tenha divulgado qual falha de software foi explorada para invadir o computador do engenheiro, o Ars Technica relatou que o pacote de software explorado no computador doméstico do funcionário foi o Plex.
Coincidentemente, em agosto, o Plex também notificou os clientes de uma violação de dados e pediu que redefinissem suas senhas depois que o LastPass divulgou uma segunda violação de dados.
Na sexta-feira, a CISA também adicionou uma vulnerabilidade crítica de gravidade no VMware's Cloud Foundation (rastreada como
CVE-2021-39144
), explorada na natureza desde o início de dezembro, ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV).
De acordo com uma diretiva operacional vinculativa (BOD 22-01) de novembro de 2021, as agências federais dos EUA agora são obrigadas a proteger seus sistemas contra ataques até 31 de março para bloquear tentativas de ataque que possam visar suas redes explorando as duas falhas.
Embora o BOD 22-01 se aplique apenas a agências federais, a CISA recomendou fortemente que todas as organizações corrigissem essas falhas para se defenderem contra ataques em andamento.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...