La brecha masiva en LastPass fue el resultado de que uno de sus ingenieros no actualiz\u00f3 Plex en la computadora de su hogar, en lo que es un recordatorio aleccionador de los peligros de no mantener el software actualizado.<\/p>\n
El asediado servicio de administraci\u00f3n de contrase\u00f1as revel\u00f3 la semana pasada c\u00f3mo actores no identificados aprovecharon la informaci\u00f3n robada de un incidente anterior que tuvo lugar antes del 12 de agosto de 2022, junto con detalles “disponibles de una violaci\u00f3n de datos de terceros y una vulnerabilidad en un software de medios de terceros”. paquete para lanzar un segundo ataque coordinado” entre agosto y octubre de 2022.<\/p>\n
La intrusi\u00f3n finalmente permiti\u00f3 al adversario robar datos de la b\u00f3veda de contrase\u00f1as parcialmente encriptadas e informaci\u00f3n del cliente.<\/p>\n
El segundo ataque apunt\u00f3 espec\u00edficamente a uno de los cuatro ingenieros de DevOps y apunt\u00f3 a la computadora de su hogar con un malware registrador de teclas para obtener las credenciales y violar el entorno de almacenamiento en la nube.<\/p>\n
Esto, a su vez, se dice que fue posible al explotar una falla en Plex de casi tres a\u00f1os ahora parcheada para lograr la ejecuci\u00f3n del c\u00f3digo en la computadora del ingeniero, dijo el servicio de transmisi\u00f3n de medios a The Hacker News en un comunicado.<\/p>\n
La vulnerabilidad en cuesti\u00f3n es CVE-2020-5741<\/a> (Puntuaci\u00f3n CVSS: 7,2), una falla de deserializaci\u00f3n que afecta a Plex Media Server en Windows y que permite a un atacante autenticado remoto ejecutar c\u00f3digo Python arbitrario en el contexto del usuario actual del sistema operativo.<\/p>\n “Este problema permiti\u00f3 a un atacante con acceso a la cuenta Plex del administrador del servidor cargar un archivo malicioso a trav\u00e9s de la funci\u00f3n de carga de la c\u00e1mara y hacer que el servidor de medios lo ejecutara”, Plex dicho<\/a> en un aviso publicado en ese momento.<\/p>\n Descubra las \u00faltimas t\u00e1cticas de evasi\u00f3n de malware y estrategias de prevenci\u00f3n<\/p>\n \u00bfListo para acabar con los 9 mitos m\u00e1s peligrosos sobre los ataques basados \u200b\u200ben archivos? \u00a1\u00danase a nuestro pr\u00f3ximo seminario web y convi\u00e9rtase en un h\u00e9roe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de d\u00eda cero!<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n La deficiencia, que era descubierto y denunciado<\/a> a Plex por parte de Tenable en marzo de 2020, fue abordado por Plex en versi\u00f3n 1.19.3.2764<\/a> lanzado el 7 de mayo de 2020. La versi\u00f3n actual de Plex Media Server es 1.31.1.6733.<\/p>\n \u201cDesafortunadamente, el empleado de LastPass nunca actualiz\u00f3 su software para activar el parche\u201d, dijo Plex en un comunicado. “Como referencia, la versi\u00f3n que abord\u00f3 este exploit fue hace aproximadamente 75 versiones”.<\/p>\n <\/p>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1678188152_890_LastPass-Hack-la-falla-del-ingeniero-para-actualizar-el-software.png\" "\\"Software")
<\/div>\n