Η LastPass έχει πάρει μια κατρακύλα φήμης. Ήταν ένας από τους καλύτερους διαχειριστές κωδικών πρόσβασης εκεί έξω και κατάφερε να γίνει ένας από τους χειρότερους, μετά από όχι μία, αλλά δύο μαζικές παραβιάσεις δεδομένων μέσα σε ένα έτος.
Μάθαμε περισσότερες λεπτομέρειες σχετικά με το δεύτερο περιστατικό την περασμένη εβδομάδα. Συγκεκριμένα, ο επιτιθέμενος εγκατέστησε ένα keylogger στον οικιακό υπολογιστή ενός ανώτερου μηχανικού μέσω ενός exploit στο Plex, την προσωπική υπηρεσία cloud για την αποθήκευση και τη ροή ταινιών, και ήταν σε θέση να παραβιάσει τις κρυφές μνήμες εταιρικού επιπέδου.
Αποδεικνύεται όμως ότι και ο μηχανικός είχε μεγάλο μερίδιο ευθύνης σε αυτή τη μεγάλη αποτυχία.
Η Plex αποκάλυψε ότι το εν λόγω exploit εκμεταλλεύτηκε μια ευπάθεια που αποκαλύφθηκε στις 7 Μαΐου 2020. Η εταιρεία αναφέρει ότι, για κάποιο λόγο, ο υπάλληλος της LastPass δεν ενημέρωσε ποτέ τον client που χρησιμοποιούσε για να εφαρμόσει το patch.
- Το κενό επέτρεπε σε όσους είχαν πρόσβαση στο λογαριασμό Plex ενός διαχειριστή διακομιστή να ανεβάσουν ένα κακόβουλο αρχείο μέσω της λειτουργίας Camera Upload και, επικαλύπτοντας τις θέσεις του καταλόγου δεδομένων του διακομιστή με μια βιβλιοθήκη που επέτρεπε Camera Uploads, να το εκτελέσει ο διακομιστής πολυμέσων.
Η εταιρεία κυκλοφόρησε τον Plex Media Server v1.19.3 την ίδια ακριβώς ημέρα για να διορθώσει το κενό. Για λόγους αναφοράς, η έκδοση που αντιμετώπισε αυτό το exploit ήταν πριν από περίπου 75 εκδόσεις.
Αυτό που μας κάνει εντύπωση είναι ότι η αλυσίδα των γεγονότων που οδήγησε σε αυτή την παραβίαση ξεκίνησε από την κορυφή της εταιρείας.
Η LastPass επέτρεψε σε αυτόν τον ανώτερο υπάλληλο να έχει πρόσβαση σε προνομιούχα συστήματα μέσω του προσωπικού του υπολογιστή, ανοίγοντας τη δυνατότητα σε κάποιον να αποκτήσει πρόσβαση στο λογαριασμό Plex αυτού του υπαλλήλου, να εκτελέσει ένα από καιρό ενημερωμένο exploit που λειτούργησε λόγω της αμέλειας του προαναφερθέντος, και να αποκτήσει από εκεί απεριόριστη πρόσβαση σε αυτά τα συστήματα.
Κάθε στάδιο αυτής της ακολουθίας δημιουργήθηκε από μια απόφαση που μπορεί να ήταν δικαιολογημένη για τον ένα ή τον άλλο λόγο εκείνη τη στιγμή. Αλλά με τον τρόπο που εξελίχθηκαν τα πράγματα, η LastPass θα χρειαστεί ένα μεγαλύτερο φτυάρι αν θέλει να βγει από αυτή την τρύπα.