De Amerikaanse overheid waarschuwt federale overheidsinstanties in het land voor een kritieke kwetsbaarheid in Plex Media Server die bij een aanval op wachtwoordmanager LastPass werd gebruikt. Alle overheidsinstanties moeten de beveiligingsupdate die het probleem verhelpt voor 31 maart hebben geïnstalleerd. Daarnaast wordt ook gewaarschuwd voor actief misbruik van een kwetsbaarheid in XStream waarmee aanvallen op VMware Cloud Foundation mogelijk zijn.

Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. LastPass meldde laatst dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware.

Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen.

De "media software" in kwestie bleek Plex te zijn. Plex meldde vervolgens dat de gebruikte kwetsbaarheid CVE-2020-5741 was. Via dit beveiligingslek kan een aanvaller met toegang tot het beheerdersaccount van de Plex-server via de camera-uploadfeature een kwaadaardig bestand op de server uitvoeren. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen.

Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid. Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en heeft daar nu ook het Plex-lek op geplaatst. Het is de eerste kwetsbaarheid in Plex die op de lijst verschijnt. Daarnaast is het overzicht ook aangevuld met CVE-2021-39144, een kwetsbaarheid in XStream waardoor remote code execution in onder andere VMware Cloud Foundation mogelijk is. Onlangs werd bekend dat aanvallers ook van dit lek misbruik maken. Het CISA kan federale overheidsinstanties verplichten om updates voor kwetsbaarheden die op de lijst staan voor een bepaalde datum te patchen.