La violación de LastPass podría haberse detenido con una actualización de Plex de 3 años

Esta historia es más que sobre la cuenta de Plex de un empleado

Fuente: LastPass

LastPass ha sufrido una caída en su reputación de ser uno de los mejores administradores de contraseñas que existen para convertirse en una infamia después de no una, sino dos violaciones masivas de datos el año pasado. Aprendimos más detalles sobre el segundo incidente la semana pasada: una parte malintencionada instaló un registrador de teclas en la computadora de la casa de un ingeniero senior a través de un exploit en Plex, el servicio de nube personal para el almacenamiento y la transmisión de películas, y pudo entrar en cachés de nivel corporativo como un resultado. Pero resulta que el ingeniero también tuvo un papel importante en este gran fracaso.

ANDROIDPOLICE VÍDEO DEL DÍA

Plex reveló que el exploit en cuestión aprovechó una vulnerabilidad que se reveló el 7 de mayo de 2020. La compañía le dice a PCMag que, por alguna razón, el empleado de LastPass nunca actualizó su cliente para aplicar el parche.

La laguna permitía a aquellos con acceso a la cuenta Plex de un administrador del servidor cargar un archivo malicioso a través de la función Carga de cámara y, al superponer las ubicaciones del directorio de datos del servidor con una biblioteca que permitía Cargas de cámara, hacer que el servidor de medios lo ejecutara.

La compañía lanzó Plex Media Server v1.19.3 ese mismo día para cerrar la brecha.

«Como referencia, la versión que abordó este exploit fue hace aproximadamente 75 versiones», dijo un portavoz de LastPass.

LastPass se negó a comentar sobre la nueva información.

Lo que nos llama la atención es que la cadena de eventos que condujo a esta brecha comenzó desde arriba: LastPass permitió a este empleado senior acceder a superficies de trabajo privilegiadas a través de su computadora personal, abriendo la posibilidad de que alguien obtenga acceso a la cuenta Plex de este empleado. , para ejecutar un exploit con un parche largo que funcionó debido a la negligencia de los mencionados anteriormente, y para obtener acceso sin restricciones a esas superficies de trabajo desde allí.

Cada etapa de esta secuencia fue configurada por una decisión que pudo haber sido justificada por una u otra razón en ese momento. Pero con la forma en que se han desarrollado las cosas, LastPass necesitará una pala más grande si quiere salir de este agujero.

Deja un comentario