تسبب الاختراق الضخم لـ LastPass في خلل في تحديث برنامج Plex على أجهزة المهندسين في المنازل، وهو يذكر بشكل واقعي عن مخاطر الفشل في تحديث البرامج.
كشفت خدمة إدارة كلمات المرور المحاصرة الأسبوع الماضي عن كيفية استغلال الفاعلين المجهولين للمعلومات المسروقة من حادث سابق وقع قبل 12 أغسطس 2022، بالإضافة إلى التفاصيل المتوافرة حول اختراق بيانات تابع لجهة خارجية وثغرة في برنامج وسائط تابع لجهة خارجية. احتوى هذا التأمين على حزمة هجوم ثانٍ مُنظَّم بين أغسطس وأكتوبر 2022.
في النهاية، يستطيع التطفل الخصم سرقة بيانات قبو كلمات المرور المشفرة جزئيًا ومعلومات العملاء.
استهدف الهجوم الثاني على وجه التحديد أحد مهندسي DevOps الأربعة، واستخدم المهاجم برنامجًا ضارًا لتثبيت keylogger على جهاز كمبيوتر المهندس والحصول على بيانات اعتماد تسجيل الدخول للقرصنة بيئة التخزين السحابية.
صرحت خدمة الإعلام المتدفق التابعة لصحيفة The Hacker News في بيان أن ذلك، بدوره، أصبح ممكنًا من خلال استغلال عيب ما يقرب من ثلاث سنوات تم تصحيحه الآن في Plex لتحقيق تنفيذ التعليمات البرمجية على كمبيوتر المهندس.
الثغرة الأمنية المعنية هي CVE-2020-5741 (درجة CVSS: 7.2)، وهي خطأ في إلغاء التسلسل يؤثر على خادم Plex Media Server على نظام Windows، ويتيح للمهاجم البعيد الذي تم التحقق من صحته تنفيذ رمز Python التعسفي في سياق المستخدم الحالي لنظام التشغيل.
وفي تقريره الاستشاري المتعلق بالأمن، صرح بليكس بأن المشكلة التي واجهت Plex سمحت لقراصنة الإنترنت باختراق حساب مدير الخادم وزرع ملف خبيث على خادم الوسائط. تسبب ذلك في عدة مشاكل أمنية للشبكة، حيث يستطيع الهاكر تغيير أو حذف المحتوى دون علم المستخدم أو سرقة المعلومات الشخصية. وجاء ذلك من خلال استغلال ميزة تحميل الصور التي يدعمها Plex.
تم حل المشكلة الَّتِي تم اكتشافُهَا وإبلاغُهَا عنْد Plex بواسطة Tenable في مارس 2020، حيث تم إصدار الإصدار 1.19.3.2764 من قِبَل Plex في 7 مايو 2020، وقد وصَل الإصدارُ الحالي لـPlex إلى 1.31.1.6733.
وقد صرحت Plex في بيانه: "من المؤسف أن الموظف المسؤول عن LastPass لم يقم بترقية برمجية الإصلاح. ويجب الإشارة إلى أن الإصدار المستهدف من هذا الاستغلال يعود إلى نحو 75 إصدارًا".