Nieuws
image

Plex niet bekend met zerodaylek na aanval op LastPass-medewerker

donderdag 2 maart 2023, 09:40 door Redactie, 5 reacties

Leverancier van mediaserversoftware Plex is niet bekend met het bestaan van zerodaylekken in de software, zo laat het bedrijf weten na berichtgeving dat een kwetsbaarheid in Plex gebruikt zou zijn voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer.

Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer.

ArsTechnica meldde op basis van een anonieme bron dat de niet nader genoemde software Plex was. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. De aanval op LastPass waarbij klant- en kluisgegevens werden gestolen vond vorig jaar plaats, in de periode van 12 augustus tot 26 oktober.

Op 24 augustus waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten. Of er een verband is tussen de inbraak bij Plex en LastPass is onbekend.

Via Reddit laat een medewerker van Plex weten dat het bedrijf niet bekend is met kritieke kwetsbaarheden die voor het verschijnen van een beveiligingsupdate bekend zijn geworden. Ook heeft LastPass geen contact met Plex opgenomen, aldus de medewerker.

"Wanneer kwetsbaarheden via responsible disclosure worden gemeld lossen we die snel en grondig op, en we hebben nog nooit meegemaakt dat er een kritieke kwetsbaarheid openbaar is geworden waarvoor nog geen gepatchte versie beschikbaar was. En wanneer we zelf met incidenten te maken hebben, kiezen we ervoor om er altijd snel over te communiceren. We zijn niet bekend met ongepatchte kwetsbaarheden", laat de medewerker verder weten. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor.

Reacties (5)
02-03-2023, 10:13 door Anoniem
Lijkt mij ook vrij sterk, mijn 1e ingeving was dan ook niet Plex, maar VLC, aangezien daar de afgelopen tijd regelmatig wat lekken in zijn geweest. Aan de andere kant komt dit op mij over als vinger wijzen, terwijl LastPass toch echt zelf het probleem heeft veroorzaakt, door BYOD toe te staan!
02-03-2023, 10:38 door Anoniem
Haha the plot thickens
02-03-2023, 11:03 door walmare
Als je naar de cve's kijk ligt vlc meer voor de hand dan plex.
Een andere anonieme bron zegt dat het een drive-by download infectie is geweest op de windows laptop van de devops engineer. Onbegrijpelijk waarom naam en paard niet meer worden genoemd.
Lastpass heeft nog heel wat uit te leggen.
We mogen er blijkbaar niet van leren omdat er geen focus op OS mag zijn volgens een bepaalde club.
02-03-2023, 11:13 door Anoniem
Als Plex wel bekend was met het bestaan van lekken, kun je dan nog wel spreken van een zero-day?
02-03-2023, 12:30 door Anoniem
Door Anoniem: Als Plex wel bekend was met het bestaan van lekken, kun je dan nog wel spreken van een zero-day?
Een zero-day is een kwetsbaarheid waarvoor nog geen fix is maar wel al in het wild wordt uitgebuit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search