Nieuws
image

Grote datadiefstal bij LastPass mede via drie jaar oude Plex-kwetsbaarheid

zondag 5 maart 2023, 09:27 door Redactie, 12 reacties

De aanval op wachtwoordmanager LastPass waarbij kluisdata en gegevens van klanten werden gestolen kon mede plaatsvinden doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Een aanvaller maakte daar misbruik van om het systeem met malware te infecteren. Dat laat Plex tegenover PCMag weten.

Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. Vorige week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware.

Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.

De "media software" in kwestie bleek Plex te zijn. In een reactie stelde Plex dat het niet bekend was met aanvallen waarbij er een onbekende kwetsbaarheid zou zijn gebruikt. Tegenover PCMag laat Plex nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741. Het gaat om een kwetsbaarheid in Plex Media Server waardoor een aanvaller met toegang tot het beheerdersaccount van de Plex-server via de camera-uploadfeature een kwaadaardig bestand op de server kan uitvoeren. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen.

Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid. Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend. Op 24 augustus vorig jaar waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten.

Reacties (12)
05-03-2023, 11:44 door Anoniem
ben ik blij dat ik het op tijd er afgooide poepoe ik krijg de all een waarschuwing van mijn beveiliging paket op m'n tv....erg blij
blij mee ook bedankt security.nl voor de tip
05-03-2023, 21:08 door Anoniem
De aanvaller zal nogsteeds een 'foothold' in het netwerk gehad moeten hebben tenzij de Plex server naar het web openstond. Dit is hoe dan ook maar een deel van het verhaal.
Een ongeupdate Plex server naar het web die mogelijk vanaf de PC in kwestie naar het web openstond is ronduit dom, misschien niet voor een huis tuin en keuken gebruiker maar wel voor een senior dev.
06-03-2023, 08:37 door Anoniem
Door Anoniem: De aanvaller zal nogsteeds een 'foothold' in het netwerk gehad moeten hebben tenzij de Plex server naar het web openstond. Dit is hoe dan ook maar een deel van het verhaal.
Een ongeupdate Plex server naar het web die mogelijk vanaf de PC in kwestie naar het web openstond is ronduit dom, misschien niet voor een huis tuin en keuken gebruiker maar wel voor een senior dev.

Wil je remote kunnen afspelen en dus onderweg (op vakantie bijv. of familieleden) bij je media kunnen moet de server een internet connectie hebben en dus 'open' staan vanaf het internet. Standaard is dat poort 32400.
06-03-2023, 10:41 door walmare - Bijgewerkt: 06-03-2023, 10:43
Tegenover PCMag laat Plex nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741.
Dat die devops een windows laptop gebruikt is natuurlijk ook dom: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-5741
Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend
Dat blijft lastig bij een systeem dat continu kritiek lek blijkt volgens Microsoft eigen patch ronde.
06-03-2023, 11:20 door Anoniem
Door Anoniem: De aanvaller zal nogsteeds een 'foothold' in het netwerk gehad moeten hebben tenzij de Plex server naar het web openstond. Dit is hoe dan ook maar een deel van het verhaal.
Een ongeupdate Plex server naar het web die mogelijk vanaf de PC in kwestie naar het web openstond is ronduit dom, misschien niet voor een huis tuin en keuken gebruiker maar wel voor een senior dev.


Op basis van mijn ervaringen zijn Developers en netwerk engineers 2 totaal verschillende types.
Developers weten alles van programmeren, database connecties maar niks van Netwerkprotocollen en porten.
Dit was volgens mij een developer.
06-03-2023, 12:12 door Anoniem
En dan vinden ze het hier raar dat ik developers alleen op een remote desktop laat werken zonder internet.
06-03-2023, 13:01 door Anoniem
Door Anoniem: En dan vinden ze het hier raar dat ik developers alleen op een remote desktop laat werken zonder internet.
remote werken, zonder internet....... dat klinkt zeer uitdagend
06-03-2023, 13:32 door walmare - Bijgewerkt: 06-03-2023, 13:33
Door Anoniem:
Door Anoniem: De aanvaller zal nogsteeds een 'foothold' in het netwerk gehad moeten hebben tenzij de Plex server naar het web openstond. Dit is hoe dan ook maar een deel van het verhaal.
Een ongeupdate Plex server naar het web die mogelijk vanaf de PC in kwestie naar het web openstond is ronduit dom, misschien niet voor een huis tuin en keuken gebruiker maar wel voor een senior dev.


Op basis van mijn ervaringen zijn Developers en netwerk engineers 2 totaal verschillende types.
Developers weten alles van programmeren, database connecties maar niks van Netwerkprotocollen en porten.
Dit was volgens mij een developer.
Nee dit was een DevOps. Developer die ook operations (Ops) is gaan doen, maar helaas geen security in mind had.
Voor dit soort taken heb je een DevSecOps nodig. Iemand die weet dat security altijd voor gaat.
06-03-2023, 14:28 door Anoniem
Door Anoniem:
Door Anoniem: En dan vinden ze het hier raar dat ik developers alleen op een remote desktop laat werken zonder internet.
remote werken, zonder internet....... dat klinkt zeer uitdagend
Dat noemen ze dus een Remote Gateway service. Die laat alleen RDP verkeer door. Vrij basic.
07-03-2023, 09:05 door Anoniem
Door Anoniem:
Door Anoniem: En dan vinden ze het hier raar dat ik developers alleen op een remote desktop laat werken zonder internet.
remote werken, zonder internet....... dat klinkt zeer uitdagend


Lol :-)
08-03-2023, 19:29 door Anoniem
Door Anoniem:
Door Anoniem: En dan vinden ze het hier raar dat ik developers alleen op een remote desktop laat werken zonder internet.
remote werken, zonder internet....... dat klinkt zeer uitdagend
Misschien zoals "vroegah", inbellen met een oud telefoonmodem. Vermits dat nog werkt op voiplijnen. :)
08-03-2023, 20:10 door Anoniem
Dat die devops een windows laptop gebruikt is natuurlijk ook dom: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-5741
Vind ik helemaal niet raar. Mijn werk laptop heeft ook windows, beheert door de it-afdeling van het werk. Die wordt ook alleen voor werkzaken gebruikt.

Als je een mediaserver wilt draaien (en aan internet koppelen) regel je voor die hobby- en thuisdingen maar een pc voor thuis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure