Plex niet bekend met zerodaylek na aanval op LastPass-medewerker

[Captain Kirk]

Leverancier van mediaserversoftware Plex is niet bekend met het bestaan van zerodaylekken in de software, zo laat het bedrijf weten na berichtgeving dat een kwetsbaarheid in Plex gebruikt zou zijn voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer.

Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer.

ArsTechnica meldde op basis van een anonieme bron dat de niet nader genoemde software Plex was. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. De aanval op LastPass waarbij klant- en kluisgegevens werden gestolen vond vorig jaar plaats, in de periode van 12 augustus tot 26 oktober.

Op 24 augustus waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten. Of er een verband is tussen de inbraak bij Plex en LastPass is onbekend.

Via Reddit laat een medewerker van Plex weten dat het bedrijf niet bekend is met kritieke kwetsbaarheden die voor het verschijnen van een beveiligingsupdate bekend zijn geworden. Ook heeft LastPass geen contact met Plex opgenomen, aldus de medewerker.

"Wanneer kwetsbaarheden via responsible disclosure worden gemeld lossen we die snel en grondig op, en we hebben nog nooit meegemaakt dat er een kritieke kwetsbaarheid openbaar is geworden waarvoor nog geen gepatchte versie beschikbaar was. En wanneer we zelf met incidenten te maken hebben, kiezen we ervoor om er altijd snel over te communiceren. We zijn niet bekend met ongepatchte kwetsbaarheden", laat de medewerker verder weten. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor.

 

bron: https://www.security.nl