Američka agencija za kibernetičku sigurnost CISA objavila je na svojim stranicama obavijest o tri godine starom sigurnosnom propustu u popularnom lokalnom softveru za strujanje medija, Plex Media Server. Ovaj nesvakidašnji događaj, da se nakon toliko vremena nacionalne borbe protiv kibernetičkog kriminala osvrću na stari propust, i to u “običnom” kućnom softveru, ima sasvim opravdan i važan razlog. Naime, Plexov sigurnosni propust identificiran je kao slaba karika koja je dovela do značajnog hakiranja upravitelja lozinkama, LastPassa.
Nezakrpani Plex doveo do velikih problema
O tom hakiranju pisali smo nedavno, kada je kompanija objavila da je za upad hakera u njihov sustav bio ključan trenutak “proboja” sigurnosti jednog kućnog računala kod jednog njihovog DevOps inženjera. U međuvremenu se doznalo da su hakeri uspjeli njegovo računalo kompromitirati upravo putem prastarog propusta u medijskom poslužitelju Plex, koji im je omogućio izvršavanje vlastitog programskog koda na daljinu. Nakon toga, posao im je bio značajno olakšan.
Nedostatak CVE-2020-5741 opisan je kao ranjivost koja omogućuje upravo to – vektor hakerskog napada izvršavanjem Python skripti na kompromitiranom računalu. CISA navodi da predstavlja značajan sigurnosni rizik za privatne osobe i savezne agencije i organizacije. Prema direktivi CISA-e, sve savezne agencije SAD-a sada moraju istražiti ovu ranjivost i odmah zakrpati računala koja pokreću nesigurnu verziju Plexa.
Da stvar bude gora za hakiranog LastPass inženjera, Plex je zakrpao ovaj propust još u svibnju 2020., s Plex Media Server verzijom 1.19.3, ali ovaj inženjer očito nije ažuriran. Time je ugrozio cijelu svoju tvrtku i njezine korisnike, ali i znatno narušio ugled LastPassa.
Plex također nije imun na hakiranje. Podsjetimo da je prošle godine u kolovozu otkrio sigurnosni incident i savjetovao svim korisnicima promjenu pristupne lozinke.
Više o temiIzvor:Bug.hr