LastPass Hack: Engineer’s Failure to Update Plex Software Led to Massive Data Breach
2023/03/07 TheHackerNews — LastPass における大規模な情報漏えいは、同社のエンジニアの1人が、自宅のコンピュータで Plex のアップデートを怠った結果であり、ソフトウェアを最新に保つことを怠ることの危険性を痛感させるものだった。先週に LastPass は、「2022年8月12日以前に発生したインシデントで盗まれた情報と、サードパーティに対するデータ侵害および、一般的なメディア・ソフトウェア・パッケージ Plex の脆弱性から入手した情報を組み合わせた正体不明の人物が、2022年8月〜10月に2度目の組織的な攻撃を行ったことを明らかにした。
この侵入により、最終的に敵対者は、部分的に暗号化されたパスワード保管庫のデータと、顧客情報を盗むことが可能となった。
この2回目の攻撃では、4人の DevOps エンジニアのうちの1人を狙い打ちにして、自宅のパソコンにキーロガー型マルウェアを仕込んで認証情報を取得し、クラウド・ストレージ環境へと侵入した。
この攻撃は、3年ほど前にパッチが適用されていた Plex の脆弱性を悪用するものであり、エンジニアのコンピュータ上でコード実行を実現したものと一致すると、Plex は The Hacker News に対して述べている。
問題の脆弱性は CVE-2020-5741 (CVSS:7.2) とは、Windows 上の Plex Media Server に影響を与えるデシリアライズの欠陥であり、リモートで認証された攻撃者が OS ユーザーのコンテキストで、任意の Python コードを実行できるというものだ。
Plex は当時のアドバイザリで、「この問題は、サーバ管理者の Plex アカウントにアクセスできる攻撃者が、カメラ・アップロード機能で悪意のファイルをアップロードし、メディアサーバで実行できるものだ」と述べていた。
この欠陥は、2020年3月に Tenable により発見され、Plex に報告されたが、Plex が対応したのは、2020年5月7日にリリースされたバージョン 1.19.3.2764 でとなる。なお、Plex Media Server の最新バージョンは 1.31.1.6733 である。
Plex は「残念ながら LastPass の従業員は、パッチを有効にするためにソフトウェアをアップグレードしていなかった。参考までに言うと、このエクスプロイトに対処したバージョンは、かなり前に提供されている」と述べている。
この LastPass インシデントですが、2023/02/28 の「LastPass のデータ侵害:エンジニアの自宅 PC が企業ストレージへの侵入経路に」に続く記事が登場しました。新しい情報は少ないですが、この自宅 PC で使われ、悪用されたのが、Plex というメディア・サーバの古い脆弱性であったことが判明しました。このような影響力のあるソフトウェア企業のエンジニアが、このような形で狙い撃ちにされる時代になったのですね。
IoT OT Security News 
You must be logged in to post a comment.