CISA предупреждает об активно эксплуатируемой ошибке Plex после взлома LastPass

Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило уязвимость удаленного выполнения кода высокой степени серьезности (RCE) почти трехлетней давности в Plex Media Server в свой каталог недостатков безопасности, используемых в атаках.

CISA предупреждает об активно эксплуатируемой ошибке Plex после взлома LastPass. Фото: СС0

Этот недостаток безопасности, отслеживаемый как CVE-2020-5741, позволяет злоумышленникам с правами администратора удаленно выполнять произвольный код Python в атаках низкой сложности, не требующих взаимодействия с пользователем.

Злоумышленники с «административным доступом к Plex Media Server могут злоупотреблять функцией загрузки с камеры, чтобы заставить сервер выполнять вредоносный код», сообщает группа безопасности Plex в мае 2020 года. Тогда компания исправила ошибку с выпуском Plex Media Server. 1.19.3.

Из сообщения разработчиков Plex Media Server:

«Это можно сделать, настроив каталог данных сервера так, чтобы он перекрывался с расположением контента для библиотеки, в которой была включена загрузка с камеры. Эту проблему нельзя было использовать без предварительного доступа к учетной записи Plex сервера».

Хотя в CISA не предоставили никакой информации об атаках, в которых использовалась CVE-2020-5741, это, вероятно, связано с тем, что в LastPass недавно обнаружили взлом компьютера старшего инженера DevOps. В систему был установлен кейлоггер.

Злоумышленники в конечном итоге получили доступ к учетным данным инженера и корпоративному хранилищу LastPass. Это привело к массовой утечке данных в августе 2022 года после того, как злоумышленники украли производственные резервные копии LastPass и резервные копии критически важных баз данных.

На домашнем компьютере сотрудника использовался программный пакет Plex.

По совпадению, в августе Plex также уведомил клиентов об утечке данных и попросил их сбросить свои пароли после того, как в LastPass сообщил о второй собственной утечке.

Согласно обязательной оперативной директиве от ноября 2021 года (BOD 22-01), федеральные агентства США теперь также обязаны защищать свои системы от атак до 31 марта, чтобы блокировать попытки атак, которые могут быть нацелены на их сети, используя две уязвимости.

Хотя BOD 22-01 применяется только к федеральным агентствам, CISA настоятельно призвала все организации исправить эти ошибки для защиты от продолжающихся атак.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме