Η CISA πρόσθεσε μια ευπάθεια σχεδόν τριών ετών υψηλής σοβαρότητας απομακρυσμένης εκτέλεσης κώδικα (RCE) στον διακομιστή Plex Media Server στον κατάλογό της με ελαττώματα ασφαλείας που εκμεταλλεύονται σε επιθέσεις.
Παρακολούθηση ως CVE-2020-5741, αυτό το ελάττωμα ασφαλείας επιτρέπει σε φορείς απειλών με δικαιώματα διαχειριστή να εκτελούν αυθαίρετο κώδικα Python εξ αποστάσεως σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Οι εισβολείς με “πρόσβαση διαχειριστή σε έναν διακομιστή πολυμέσων Plex θα μπορούσαν να κάνουν κατάχρηση της λειτουργίας Μεταφόρτωση κάμερας για να κάνουν τον διακομιστή να εκτελέσει κακόβουλο κώδικα”, σύμφωνα με την Ομάδα Ασφαλείας Plex τον Μάιο του 2020, όταν επιδιορθώθηκε το σφάλμα με την κυκλοφορία του Plex Media Server 1.19.3.
“Αυτό θα μπορούσε να γίνει ρυθμίζοντας τον κατάλογο δεδομένων διακομιστή ώστε να επικαλύπτεται με τη θέση περιεχομένου για μια βιβλιοθήκη στην οποία ήταν ενεργοποιημένη η Μεταφόρτωση κάμερας. Δεν ήταν δυνατή η εκμετάλλευση αυτού του ζητήματος χωρίς πρώτα να αποκτήσετε πρόσβαση στον λογαριασμό Plex του διακομιστή.”
Αν και η CISA δεν παρείχε καμία πληροφορία σχετικά με τις επιθέσεις όπου έγινε εκμετάλλευση του CVE-2020-5741, αυτό πιθανότατα συνδέεται με το LastPass που πρόσφατα αποκάλυψε ότι ο υπολογιστής ενός ανώτερου μηχανικού DevOps παραβιάστηκε πέρυσι για να εγκαταστήσετε ένα keylogger με κατάχρηση ενός σφάλματος RCE λογισμικού πολυμέσων τρίτων.
Οι εισβολείς απέκτησαν τελικά πρόσβαση στα διαπιστευτήρια του μηχανικού και στο εταιρικό θησαυροφυλάκιο του LastPass. Αυτό οδήγησε σε μια μαζική παραβίαση δεδομένων τον Αύγουστο του 2022, αφού οι παράγοντες της απειλής διέλυσαν αντίγραφα ασφαλείας παραγωγής LastPass και αντίγραφα ασφαλείας κρίσιμων βάσεων δεδομένων.