La brèche massive chez LastPass est le résultat du fait que l’un de ses ingénieurs n’a pas mis à jour Plex sur son ordinateur personnel, ce qui est un rappel qui donne à réfléchir sur les dangers de ne pas maintenir les logiciels à jour.
Le service de gestion des mots de passe en difficulté la semaine dernière a révélé comment des acteurs non identifiés ont exploité des informations volées lors d’un incident antérieur survenu avant le 12 août 2022, ainsi que des détails « disponibles à partir d’une violation de données tierce et d’une vulnérabilité dans un logiciel multimédia tiers. paquet pour lancer une deuxième attaque coordonnée » entre août et octobre 2022.
L’intrusion a finalement permis à l’adversaire de voler des données de coffre-fort de mots de passe partiellement cryptées et des informations sur les clients.
La deuxième attaque a spécifiquement ciblé l’un des quatre ingénieurs DevOps, ciblant son ordinateur personnel avec un logiciel malveillant d’enregistreur de frappe pour obtenir les informations d’identification et violer l’environnement de stockage en nuage.
Ceci, à son tour, aurait été rendu possible en exploitant une faille de près de trois ans maintenant corrigée dans Plex pour réaliser l’exécution de code sur l’ordinateur de l’ingénieur, a déclaré le service de streaming multimédia dans un communiqué.
La vulnérabilité en question est CVE-2020-5741 (score CVSS : 7,2), une faille de désérialisation affectant Plex Media Server sous Windows qui permet à un attaquant distant et authentifié d’exécuter du code Python arbitraire dans le contexte de l’utilisateur actuel du système d’exploitation.
« Ce problème permettait à un attaquant ayant accès au compte Plex de l’administrateur du serveur de télécharger un fichier malveillant via la fonction de téléchargement de caméra et de le faire exécuter par le serveur multimédia », a déclaré Plex dans un avis publié à l’époque.
La lacune, qui a été découverte et signalée à Plex par Tenable en mars 2020, a été corrigée par Plex dans la version 1.19.3.2764 publiée le 7 mai 2020. La version actuelle de Plex Media Server est 1.31.1.6733.
« Malheureusement, l’employé de LastPass n’a jamais mis à jour son logiciel pour activer le correctif », a déclaré Plex dans un communiqué. « Pour référence, la version qui corrigeait cet exploit remontait à environ 75 versions. »
