CISA telah menambahkan kerentanan eksekusi kode jarak jauh (RCE) dengan keparahan tinggi hampir tiga tahun di Plex Media Server ke katalog kelemahan keamanan yang dieksploitasi dalam serangan.
Dilacak sebagai CVE-2020-5741, celah keamanan ini memungkinkan pelaku ancaman dengan hak istimewa admin untuk mengeksekusi kode Python sewenang-wenang dari jarak jauh dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
Penyerang dengan “akses admin ke Plex Media Server dapat menyalahgunakan fitur Camera Upload untuk membuat server mengeksekusi kode berbahaya,” menurut sebuah penasehat diterbitkan oleh Tim Keamanan Plex pada Mei 2020 saat memperbaiki bug dengan rilis Plex Media Server 1.19.3.
“Hal ini dapat dilakukan dengan menyetel direktori data server agar tumpang tindih dengan lokasi konten perpustakaan tempat Pengunggahan Kamera diaktifkan. Masalah ini tidak dapat dieksploitasi tanpa terlebih dahulu mendapatkan akses ke akun Plex server.”
Meskipun CISA tidak memberikan info apa pun tentang serangan di mana CVE-2020-5741 dieksploitasi, hal ini kemungkinan terkait dengan LastPass yang baru-baru ini mengungkapkan bahwa komputer insinyur DevOps senior diretas tahun lalu untuk menginstal keylogger dengan menyalahgunakan bug RCE perangkat lunak media pihak ketiga.
Penyerang akhirnya mendapatkan akses ke kredensial insinyur dan brankas perusahaan LastPass. Hal ini menyebabkan pelanggaran data besar-besaran pada Agustus 2022 setelah aktor ancaman mengeksfiltrasi cadangan produksi LastPass dan cadangan basis data penting.
Plex RCE dilaporkan digunakan untuk meretas insinyur LastPass
Meskipun LastPass tidak mengungkapkan kelemahan perangkat lunak apa yang dieksploitasi untuk meretas komputer insinyur, Ars Technica dilaporkan bahwa paket perangkat lunak yang dieksploitasi di komputer rumah karyawan adalah Plex.
Kebetulan, di bulan Agustus, Plex juga diberitahu pelanggan dari pelanggaran data dan meminta mereka untuk mengatur ulang kata sandi mereka setelahnya LastPass mengungkapkan pelanggaran keduanya sendiri.
Pada hari Jumat, CISA juga menambahkan a kerentanan keparahan kritis di Cloud Foundation VMware (dilacak sebagai CVE-2021-39144), dieksploitasi di alam liar sejak awal Desember, ke katalog Known Exploited Vulnerabilities (KEV).
Menurut November 2021 petunjuk operasional yang mengikat (BOD 22-01)agen federal AS sekarang juga diharuskan untuk mengamankan sistem mereka dari serangan hingga 31 Maret untuk memblokir upaya serangan yang mungkin menargetkan jaringan mereka dengan mengeksploitasi dua kelemahan tersebut.
Meskipun BOD 22-01 hanya berlaku untuk lembaga federal, CISA sangat mendesak semua organisasi untuk menambal bug ini untuk bertahan dari serangan yang sedang berlangsung.
