Die massive Sicherheitslücke bei LastPass war das Ergebnis eines Ingenieurs, der es versäumt hatte, Plex auf seinem Heimcomputer zu aktualisieren. Dies ist eine ernüchternde Erinnerung an die Gefahren, die entstehen, wenn man seine Software nicht auf dem neuesten Stand hält.

Der umkämpfte Passwortverwaltungsdienst enthüllte letzte Woche, wie unbekannte Akteure Informationen aus einem früheren Vorfall, der vor dem 12. August 2022 stattfand, zusammen mit Details, die aus einer Datenverletzung eines Drittanbieters und einer Schwachstelle in einem Mediensoftwarepaket eines Drittanbieters stammten, nutzten, um zwischen August und Oktober 2022 einen koordinierten zweiten Angriff zu starten“.

Das Eindringen ermöglichte es dem Angreifer, teilweise verschlüsselte Daten aus dem Passwort-Tresor und Kundeninformationen zu stehlen.

Der zweite Angriff richtete sich gezielt gegen einen der vier DevOps-Ingenieure, dessen Heimcomputer mit einem Keylogger-Schadprogramm angegriffen wurde, um die Anmeldedaten zu erhalten und in die Cloud-Speicherumgebung einzudringen.

This, in turn, is said to have been made possible by exploiting a nearly three-year-old now-patched flaw in Plex to achieve code execution on the engineer’s computer, the streaming media service told The Hacker News in a statement.

The vulnerability in question is CVE-2020-5741 (CVSS score: 7.2), a deserialization flaw impacting Plex Media Server on Windows that allows a remote, authenticated attacker to execute arbitrary Python code in the context of the current operating system user.

„Dieses Problem ermöglichte es einem Angreifer mit Zugriff auf das Plex-Konto des Server-Administrators, eine bösartige Datei über die Kamera-Upload-Funktion hochzuladen und vom Medienserver ausführen zu lassen“, so Plex in einem damals veröffentlichten Advisory.

Die Schwachstelle, die im März 2020 von Tenable entdeckt und an Plex gemeldet wurde, wurde von Plex in Version 1.19.3.2764 behoben, die am 7. Mai 2020 veröffentlicht wurde. Die aktuelle Version von Plex Media Server ist 1.31.1.6733.

„Leider hat der LastPass-Mitarbeiter seine Software nicht aktualisiert, um den Patch zu aktivieren“, so Plex in einer Erklärung. „Zum Vergleich: Die Version, die diese Schwachstelle behebt, liegt etwa 75 Versionen zurück.