Impliquée dans l’affaire LastPass, la CISA émet une alerte pour cette vulnérabilité dans Plex
La CISA a ajouté à une vulnérabilité dans Plex Media Server à son catalogue des failles de sécurité activement exploitées dans le cadre d'attaques. Ce qu'il faut savoir.
Pour rappel, la CISA (Cybersecurity & Infrastructure Security Agency) est l'agence gouvernementale des États-Unis qui est en charge des questions de cybersécurité, dans le même esprit que l'ANSSI en France.
Le point sur la CVE-2020-5741 de Plex Media Server
La faille de sécurité en question est associée à la référence CVE-2020-5741 et elle date bien de 2020 ! Si elle est "mise en avant" maintenant, ce n'est pas un hasard : elle serait impliquée dans la fuite de données qui a impacté le gestionnaire de mots de passe LastPass !
En exploitant cette faille de sécurité, un attaquant avec un accès admin sur Plex peut exécuter du code Python à distance, de façon simple, et sans interaction de la part de l'utilisateur. Si l'accès à l'interface Plex n'est pas bien sécurisé (identifiants faibles, par exemple), cette faille de sécurité est une aubaine pour les attaquants ! Déjà corrigée depuis le mois de mai 2020 au sein de Plex Media Server 1.19.3, voici ce que dit l'éditeur de la solution dans le bulletin de sécurité mis en ligne à l'époque : "Un attaquant disposant déjà d'un accès administrateur à un serveur multimédia Plex pourrait abuser de la fonction Camera Upload pour faire exécuter un code malveillant au serveur.", ce qui permet de compromettre la machine où Plex est déployé !
Le lien avec l'affaire LastPass
Même si la CISA ne précise pas pourquoi cette faille de sécurité vient d'être ajoutée à son catalogue des vulnérabilités exploitées dans le cadre d'attaques, il y a des chances que ce soit lié à l'affaire LastPass.
D'après le site Ars Technica, cette faille de sécurité aurait permis à un cybercriminel de compromettre la machine d'un DevOps de chez LastPass, à cause de l'instance Plex Media Server présente sur son PC. Les pirates ont pu déployer un keylogger sur la machine grâce à cette vulnérabilité, pour ensuite récupérer les identifiants de l'employé de LastPass. Ce qui a mené à une importante fuite de données en août 2022 chez LastPass.
Attention aux instances Plex Media Server susceptibles de traîner sur un PC ou sur un NAS... On met à jour !