Stari sigurnosni propust u Plexu doveo je do hakiranja LastPassa
Nakon tri godine američka je agencija CISA objavila da je propust u Plex Media Serveru vrlo opasan, a za to sada imaju itekako dobar razlog – putem tog je propusta "pala" sigurnost LastPassa
Američka agencija za kibernetičku sigurnost CISA na svojim je stranicama objavila obavijest o tri godine starom sigurnosnom propustu u popularnom softveru za lokalni streaming multimedije, Plex Media Serveru. Ovaj neobičan događaj, da se nakon toliko vremena nacionalni borci protiv kibernetičkog kriminala osvrću na jedan stari propust, i to u "običnom" kućnom softveru, pak, ima sasvim legitiman i bitan povod. Naime, upravo je Plexov sigurnosni propust identificiran kao slaba karika, koja je dovela do značajnog hakiranja upravitelja lozinkama, LastPass.
Nezakrpani Plex doveo do velikih problema
O tom hakiranju pisali smo nedavno, kada je kompanija objavila da je za upad hakera u njihov sustav bio ključan trenutak "proboja" sigurnosti jednog kućnog računala kod jednog njihovog DevOps inženjera. U međuvremenu se doznalo da su hakeri uspjeli njegovo računalo kompromitirati upravo putem prastarog propusta u medijskom serveru Plex, koji im je omogućio izvršavanje vlastitog programskog koda na daljinu. Nakon toga, posao im je bio značajno olakšan.
Propust oznake CVE-2020-5741 opisuje se kao ranjivost koja omogućava upravo to – vektor hakerskog napada izvršavanjem Python skripti na napadnutom računalu. CISA navodi da on predstavlja značajan sigurnosni rizik, kako privatnim osobama, tako i federalnim agencijama i organizacijama. Prema CISA-inoj uputi, sve federalne agencije SAD-a moraju sada provjeriti situaciju s ovim propustom i odmah zakrpati računala na kojima se koristi nesigurna inačica Plexa.
Da bi stvar bila još gora po hakiranog LastPassovog inženjera, Plex je ovaj propust zakrpao još u svibnju 2020. godine, verzijom Plex Media Server 1.19.3, no ovaj ga inženjer, očito, nije ažurirao. Time je doveo u opasnost cijelu svoju kompaniju i njezine korisnike, ali i značajno naštetio ugledu LastPassa.
Plex također nije imun na hakiranja. Podsjetimo da je prošle godine u kolovozu otkrio sigurnosni incident i savjetovao svim korisnicima promjenu pristupne lozinke.