CISA, saldırılarda yararlanılan güvenlik açıkları kataloğuna Plex Media Server’daki neredeyse üç yıllık yüksek önem dereceli uzaktan kod yürütme (RCE) güvenlik açığını ekledi.
CVE-2020-5741 olarak izlenen bu güvenlik açığı, yönetici ayrıcalıklarına sahip tehdit aktörlerinin, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan rastgele Python kodu yürütmesine olanak tanır.
Plex Güvenlik Ekibi tarafından Mayıs 2020’de Plex Media Server’ın piyasaya sürülmesiyle hatayı düzelttiğinde yayınlanan bir danışma belgesine göre, “Plex Media Server’a yönetici erişimi olan saldırganlar, sunucunun kötü amaçlı kod yürütmesini sağlamak için Kamera Yükleme özelliğini kötüye kullanabilir” 1.19.3.
“Bu, sunucu veri dizini, Kamera Yüklemenin etkinleştirildiği bir kitaplığın içerik konumuyla çakışacak şekilde ayarlanarak yapılabilir. Sunucunun Plex hesabına erişim sağlanmadan bu sorundan yararlanılamaz.”
CISA, CVE-2020-5741’in istismar edildiği saldırılar hakkında herhangi bir bilgi sağlamasa da, bu muhtemelen LastPass’ın geçen yıl kıdemli bir DevOps mühendisinin bilgisayarının üçüncü taraf bir medyayı kötüye kullanarak bir keylogger yüklemek için hacklendiğini ifşa etmesiyle bağlantılı. yazılım RCE hatası.
Saldırganlar sonunda mühendisin kimlik bilgilerine ve LastPass şirket kasasına erişim sağladı. Bu, tehdit aktörlerinin LastPass üretim yedeklerini ve kritik veritabanı yedeklerini sızdırmasının ardından Ağustos 2022’de büyük bir veri ihlaline yol açtı.
Plex RCE’nin LastPass mühendisini hacklemek için kullanıldığı bildirildi
LastPass, mühendisin bilgisayarına girmek için hangi yazılım kusurunun kullanıldığını açıklamasa da Ars Technica, çalışanın ev bilgisayarında kullanılan yazılım paketinin Plex olduğunu bildirdi.
Tesadüfen Ağustos ayında Plex de bildirildi LastPass kendi ikinci ihlalini ifşa ettikten sonra müşterilerinden şifrelerini sıfırlamalarını istedi.
Cuma günü CISA, VMware’in Bulut Vakfı’nda (CVE-2021-39144 olarak izlenir) Aralık ayının başından bu yana vahşi ortamda istismar edilen kritik önem derecesindeki bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Kasım 2021 tarihli bağlayıcı bir operasyonel yönergeye (BOD 22-01) göre, ABD federal kurumlarının artık iki açıktan yararlanarak ağlarını hedef alabilecek saldırı girişimlerini engellemek için sistemlerini 31 Mart’a kadar saldırılara karşı güvence altına almaları gerekiyor.
BOD 22-01 yalnızca federal kurumlar için geçerli olsa da, CISA tüm kuruluşları devam eden saldırılara karşı savunma yapmak için bu hataları düzeltmeye şiddetle çağırdı.