Plexは一部のユーザーに対し、最近修正されたセキュリティ脆弱性のため、メディアサーバーを至急アップデートするよう木曜日に通知しました。
同社はまだこの脆弱性を追跡するためのCVE-IDを割り当てておらず、パッチに関する追加情報も提供していませんが、Plex Media Serverのバージョン1.41.7.xから1.42.0.xに影響があるとだけ述べています。
昨日、セキュリティアップデートをリリースしてから4日後、Plexは影響を受けるバージョンを使用しているユーザーに対し、できるだけ早くソフトウェアをアップデートするようメールで通知しました。
「最近、バグ報奨金プログラムを通じて、Plex Media Serverのバージョン1.41.7.xから1.42.0.xに影響する潜在的なセキュリティ問題の報告を受けました。そのユーザーのおかげで、問題を修正し、サーバーの更新版をリリースし、セキュリティと防御をさらに強化することができました」と同社はメールで述べています。
「あなたがこの通知を受け取っているのは、あなたのPlexアカウントが所有するPlex Media Serverが古いバージョンで稼働していることが当社の情報で確認されたためです。まだアップデートしていない場合は、できるだけ早くPlex Media Serverを最新バージョンにアップデートすることを強く推奨します。」
この脆弱性を修正するPlex Media Server 1.42.1.10060は、サーバー管理ページまたは公式ダウンロードページからダウンロードできます。
Plexは現時点で脆弱性に関する詳細を共有していませんが、ユーザーは同社のアドバイスに従い、脅威アクターがパッチをリバースエンジニアリングしてエクスプロイトを開発する前にソフトウェアを修正することが推奨されています。
Plexはこれまでにも重大または高リスクのセキュリティ脆弱性を経験していますが、特定の脆弱性からシステムを守るために顧客にメールで通知したのは、今回が数少ない例の一つです。
2023年3月、CISAはPlex Media Serverの3年前のリモートコード実行(RCE)脆弱性(CVE-2020-5741)が攻撃で積極的に悪用されていると警告しました。Plexが2年前に説明したように、パッチをリリースした際、悪用が成功すると攻撃者がサーバーに悪意のあるコードを実行させることが可能になります。
サイバーセキュリティ機関はCVE-2020-5741を悪用した攻撃に関する情報を提供しませんでしたが、これはLastPassの上級DevOpsエンジニアのコンピュータが2022年にハッキングされ、サードパーティのメディアソフトウェアのRCE脆弱性を悪用してキーロガーがインストールされたことに関連している可能性があります。
攻撃者はこのアクセスを利用してエンジニアの認証情報を盗み、LastPassの企業用ボールトを侵害し、2022年8月にLastPassのプロダクションバックアップや重要なデータベースバックアップが盗まれる大規模なデータ侵害を引き起こしました。
同じ月にPlexもデータ侵害をユーザーに通知し、攻撃者がメールアドレス、ユーザー名、暗号化されたパスワードを含むデータベースにアクセスした後、パスワードのリセットを求めました。
