LastPass:工程师未能更新Plex软件导致大规模数据泄露

LastPass的大规模漏洞是其一名工程师未能在其家用计算机上更新Plex的结果，这是对未能使软件保持最新的危险的清醒提醒。

上周陷入困境的密码管理服务揭示了身份不明的行为者如何利用从2022年8月12日之前发生的早期事件中窃取的信息，以及“可从第三方数据泄露和第三方媒体软件中的漏洞获得的详细信息”包以在2022年8月至2022年10月之间发起协调一致的第二次攻击。

入侵最终使对手能够窃取部分加密的密码保险库数据和客户信息。

第二次攻击专门针对四位DevOps工程师中的一位，使用键盘记录器恶意软件瞄准他们的家用计算机，以获取凭据并破坏云存储环境。

流媒体服务在一份声明中称，据称，这又是通过利用Plex中一个已存在近三年、现已修补的漏洞在工程师的计算机上执行代码而实现的。

存在问题的漏洞是CVE-2020-5741（CVSS 分数：7.2），这是一个影响 Windows 上的Plex Media Server的反序列化缺陷，允许经过身份验证的远程攻击者在当前操作系统用户的上下文中执行任意Python代码。

“这个问题允许攻击者访问服务器管理员的Plex帐户，通过相机上传功能上传恶意文件，并让媒体服务器执行它，”Plex 在当时发布的一份公告中说。

该问题于2020年3月由Tenable发现并报告给Plex，Plex在2020年5月7日发布的1.19.3.2764 版本中得到解决。Plex的当前版本为1.31.1.6733。

“不幸的是，LastPass员工从未升级他们的软件来激活补丁，”Plex在一份声明中说。“作为参考，解决此漏洞的版本大约是75个版本之前的版本。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4742.html