Lỗ hổng có số hiệu là CVE-2020-5741, là lỗ hổng hổng nghiêm trọng cao đầu tiên trong Plex Media Server, có thể bị khai thác để thực thi mã Python tùy ý, từ xa.
Hồi tháng 5/2020, Plex đã lưu ý rằng: “Lỗ hổng này cho phép kẻ tấn công truy cập vào tài khoản Plex của quản trị viên máy chủ để tải tệp độc hại lên thông qua tính năng tải lên máy ảnh (camera upload) và yêu cầu máy chủ phương tiện thực thi nó”.
Được xử lý bằng việc phát hành Plex Media Server 1.19.3, lỗ hổng yêu cầu kẻ tấn công muốn khai thác được thì phải có quyền truy cập quản trị viên vào máy chủ Plex Media. Điều này khiến nó khó có thể trở thành mục tiêu trong các cuộc tấn công.
Tuy nhiên, vào tháng 8/2022, Plex đã tiết lộ một vụ rò rỉ dữ liệu có khả năng ảnh hưởng đến hơn 15 triệu khách hàng, dẫn đến việc dữ liệu tên người dùng, email và mật khẩu bị đánh cắp. Điều này về cơ bản đã mở ra cơ hội khai thác các phiên bản Plex Media Server có lỗ hổng CVE-2020-5741 chưa được vá lỗi.
Mặc dù đã bổ sung lỗ hổng bảo mật vào danh sách KEV nhưng CISA không chia sẻ chi tiết về việc khai thác thực tế. Tuy nhiên, các thông tin gần đây đã thừa nhận rằng vi phạm dữ liệu LastPass năm ngoái dẫn đến hành vi trộm cắp dữ liệu của người dùng có thể liên quan đến lỗ hổng Plex bị khai thác để tấn công một máy tính của kỹ sư DevOps.
Plex chia sẻ: “Khi các lỗ hổng bảo mật được báo cáo sau khi tiết lộ một cách có trách nhiệm, chúng tôi sẽ xử lý chúng nhanh chóng và triệt để, đồng thời chúng tôi chưa từng công bố lỗ hổng nguy cấp nào mà chưa có sự phát hành phiên bản vá lỗi. Và khi chúng tôi gặp các sự cố của riêng mình, chúng tôi luôn chọn cách nhanh chóng có thông báo về chúng. Chúng tôi không biết về bất kỳ lỗ hổng nào chưa được vá và như mọi khi, chúng tôi mời mọi người tiết lộ các vấn đề cho chúng tôi theo các hướng dẫn được liên kết ở trên".
Lỗ hổng đã bị khai thác được được Plex tiết lộ công khai vào tháng 5/2020 (khoảng 2,5 năm trước sự kiện LastPass). Vào thời điểm đó, một phiên bản cập nhật của Máy chủ phương tiện Plex đã được cung cấp cho tất cả mọi người (ngày 7/5/2020). Thật không may, nhân viên của LastPass lại không nâng cấp phần mềm của họ để kích hoạt bản vá. Plex sẽ cung cấp thông báo qua giao diện người dùng quản trị về các bản cập nhật và cũng sẽ thực hiện cập nhật tự động trong nhiều trường hợp.
Lỗ hổng thứ hai mà CISA đã thêm vào danh sách KEV của mình vào tuần trước là CVE-2021-39144, một sự cố thực thi mã từ xa trong XStream, lỗ hổng này gần đây đã bị khai thác trong các cuộc tấn công độc hại nhắm vào các sản phẩm VMware. VMware Cloud Foundation và NSX Data Center for vSphere (NSX-V) bị ảnh hưởng.
CISA lưu ý: “Lỗ hổng này có thể ảnh hưởng đến nhiều sản phẩm nhưng không giới hạn ở VMware Cloud Foundation”.
Theo chỉ thị hoạt động ràng buộc (BOD) 22-01, đến ngày 31/3, các cơ quan liên bang phải xử lý các lỗ hổng này. Tuy nhiên, tất cả các tổ chức được khuyến khích xem lại danh mục những lỗ hổng và áp dụng các bản vá khi cần thiết./.
