LastPass-hack gebruikte Plex-kwetsbaarheid die drie jaar geleden al was gedicht – Computer – Nieuws

De LastPass-hack van afgelopen november maakte gebruik van een kwetsbaarheid in Plex die in mei 2020 al was gedicht, ontdekt PCMag. De hack had voorkomen dat de werknemer kon worden, op wiens thuiscomputer de malware werd bevestigd, de software was geüpdatet.

Het gaat om de CVE-2020-5741-kwetsbaarheid in de software Plex Media Server, schrijft PCMag. Via de Camera Upload-functie was het voor aanvallers mogelijk om de server geheime code uit te laten voeren. De beheerders hebben toegang tot het Plex-account van de LastPass-werknemer. Hoe ze ontstaan ​​is niet bekend. Nadat de devops-programmeur van LastPass de malware had geanalyseerd, waren de hackers in staat om de aanslagen van het slachtoffer te registreren en zo achter het masterwachtwoord te komen. De LastPass-werknemer heeft vervolgens zelf ook de multifactorauthenticatieaanvraag goedgekeurd.

In een reactie zei Plex tegen PCMag dat er in mei 2020 een patch voor de kwetsbaarheid werd uitgebracht, maar dat de werknemer in de kwestie van de software nooit geüpgraded is. zijn er al 75 nieuwe softwareversies van Plex verschenen. Het is verwarrend waarom de programmeur al die tijd de software niet heeft bijgewerkt, vooral omdat veel van de updates automatisch horen te vinden.

Via deze senior devops-programmeur hebben de aanvallers vorig jaar toegang gekregen tot de cloudback-ups van Lastpass, waarin klantgegevens, zoals mfa-seeds en ondergrondse info, stonden, zo maakte LastPass afgelopen week bekend. Ook zijn er vijf blobs gedownload van back-ups van klanten die tussen 20 augustus en 8 september een account hadden. In die blobs zaten ook versleutelde velden voor de wachtwoorden en onversleutelde velden voor bijvoorbeeld url-namen.