La brèche massive chez LastPass est le résultat du fait que l’un de ses ingénieurs n’a pas réussi à mettre à jour Plex sur son ordinateur personnel, ce qui rappelle sans réfléchir les dangers de ne pas maintenir les logiciels à jour.
Le service de gestion des mots de passe en difficulté la semaine dernière a révélé comment des acteurs non identifiés ont exploité des informations volées lors d’un incident antérieur survenu avant le 12 août 2022, ainsi que des détails « disponibles à partir d’une violation de données tierce et d’une vulnérabilité dans un logiciel multimédia tiers. paquet pour lancer une deuxième attaque coordonnée » entre août et octobre 2022.
L’intrusion a finalement permis à l’adversaire de voler des données de coffre-fort de mots de passe partiellement cryptées et des informations sur les clients.
La deuxième attaque a spécifiquement ciblé l’un des quatre ingénieurs DevOps, ciblant son ordinateur personnel avec un logiciel malveillant d’enregistreur de frappe pour obtenir les informations d’identification et violer l’environnement de stockage en nuage.
Ceci, à son tour, aurait été rendu possible en exploitant une faille de près de trois ans maintenant corrigée dans Plex pour réaliser l’exécution de code sur l’ordinateur de l’ingénieur, a déclaré le service de streaming multimédia à The Hacker News dans un communiqué.
La vulnérabilité en question est CVE-2020-5741 (score CVSS : 7,2), une faille de désérialisation affectant Plex Media Server sous Windows qui permet à un attaquant distant et authentifié d’exécuter du code Python arbitraire dans le contexte de l’utilisateur actuel du système d’exploitation.
« Ce problème permettait à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement de caméra et de le faire exécuter par le serveur multimédia », a déclaré Plex. a dit dans un avis publié à l’époque.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
La question, qui était découvert et signalé à Plex par Tenable en mars 2020, a été adressée par Plex en version 1.19.3.2764 publié le 7 mai 2020. La version actuelle de Plex est 1.31.1.6733.
« Malheureusement, l’employé de LastPass n’a jamais mis à jour son logiciel pour activer le correctif », a déclaré Plex dans un communiqué. « Pour référence, la version qui corrigeait cet exploit remontait à environ 75 versions. »
