Η Plex έχει διορθώσει και μετριάσει τρεις ευπάθειες που επηρεάζουν τον Plex Media Server για Windows οι οποίες θα μπορούσαν να επιτρέψουν στους εισβολείς να πάρουν τον πλήρη έλεγχο του υποκείμενου συστήματος.
Ο Plex Media Server είναι ένα desktop app και ο backend server για την media streaming υπηρεσία – έχει σχεδιαστεί για streaming ταινιών, τηλεοπτικών εκπομπών, μουσικής και άλμπουμ φωτογραφιών.
Οι τρεις ευπάθειες που εντοπίστηκαν και ονομάζονται CVE-2020-5740, CVE-2020-5741 και CVE-2020-5742 εντοπίστηκαν από τον ερευνητή ασφάλειας της Tenable, Chris Lyne και αναφέρθηκαν στην Plex στις 31 Μαΐου.
Εάν οι επιτιθέμενοι εκμεταλλευτούν όλα αυτά τα ελαττώματα ασφαλείας μαζί, θα μπορούσαν να εκτελέσουν απομακρυσμένα τον κώδικα ως SYSTEM και να αναλάβουν πλήρως την λειτουργία του λειτουργικού συστήματος, να αποκτήσουν πρόσβαση σε όλα τα αρχεία, να αναπτύξουν backdoors ή να κινηθούν μεταξύ άλλων συσκευών στο ίδιο δίκτυο.
Η ομάδα ασφαλείας Plex κυκλοφόρησε ενημερώσεις κώδικα για το CVE-2020-5740 στις 24 Απριλίου και για το CVE-2020-5741 στις 7 Μαΐου και μετρίασε το CVE-2020-5742 μέσω αλλαγών από την πλευρά του server.
Phishing επιθέσεις που οδηγούν σε ανάληψη συστήματος
Σύμφωνα με μια proof-of-concept επίθεση, οι απειλητικοί παράγοντες που θα ήθελαν να πάρουν τον έλεγχο των συσκευών που τρέχουν μη ενημερωμένους Plex Media Servers θα πρέπει να ξεκινήσουν με ένα phishing email που έχει σχεδιαστεί για να ανακατευθύνει τους στοχευμένους διαχειριστές των Plex σε έναν Plex Media server που θα ελέγχεται από τους εισβολείς.
Εάν πετύχει το κόλπο τους και συνδεθούν στον κακόβουλο server, «ο εισβολέας μπορεί να στέλνει συνεχώς αιτήματα στον media server του θύματος», κάνοντας κατάχρηση του σφάλματος που προκύπτει από το CORS policy που βρίσκεται πίσω από το CVE-2020-5742 για να κλέψει το X- Plex-Token.
Ακόμα κι αν η επίθεση σταματήσει εδώ, οι hackers θα έχουν αποκτήσει πρόσβαση στα media των θυμάτων και θα αποκτήσουν την δυνατότητα αλλαγής των ρυθμίσεων του server.
“Από τις 15 Ιουνίου 2020, η Plex έχει αναπτύξει μια ειδοποίηση από την πλευρά του server, με στόχο να ενημερώνει τους χρήστες εάν συνδεθούν σε μια εφαρμογή που δεν φιλοξενείται από την Plex”, εξηγεί η Tenable.
Στο επόμενο βήμα, οι εισβολείς θα πρέπει να χρησιμοποιήσουν το κλεμμένο token ταυτοποίησης ταυτότητας του διαχειριστή για να τρέξουν εξ αποστάσεως τον αυθαίρετο κώδικα Python με δικαιώματα του media server, εκμεταλλευόμενοι το σφάλμα CVE-2020-5741.
Αυτό θα τους επέτρεπε να εγκαταστήσουν backdoors σε παραβιασμένα συστήματα, καθώς και να «περιπλανιούνται» σε άλλες συσκευές στο τοπικό δίκτυο του server.
Στη συνέχεια, οι επιτιθέμενοι πρέπει να εκμεταλλευτούν την ευπάθεια CVE-2020-5740 για να αυξήσουν τα προνόμιά τους σε SYSTEM σε συστήματα Windows, αναλαμβάνοντας πλήρως τον έλεγχο του υποκείμενου συστήματος. Φυσικά έτσι αποκτούν πρόσβαση και σε όλα τα αρχεία.
Ενημερώστε το σύστημα σας στην τελευταία έκδοση
Για να βεβαιωθείτε ότι οι servers θα είναι ασφαλείς κάντε update στην τελευταία έκδοση.
“Έχουμε πραγματοποιήσει μια αλλαγή στους διακομιστές διανομής ενημερώσεων. Αυτή η αλλαγή θα προστατεύσει τον Plex Media Server έκδοση 1.18.2 ή νεότερη”, δήλωσε η Ομάδα Ασφάλειας της Plex. “Οι εγκαταστάσεις των Plex Media Server που είναι παλαιότερες από την 1.18.2 θα εξακολουθούν να είναι εκμεταλλεύσιμες και ενθαρρύνουμε τους χρήστες που χρησιμοποιούν παλαιότερες εκδόσεις να κάνουν αναβάθμιση.”
“Επιπλέον, οι εκδόσεις Plex Media Server 1.19.1.2701 & 1.19.2.2702 (και νεότερες) διαθέτουν πρόσθετους μηχανισμούς προστασίας έναντι μελλοντικών τρωτών σημείων. Συνιστούμε σε όλους τους χρήστες να κάνουν ενημέρωση σε μία από αυτές τις εκδόσεις.”
“Ο Plex Media Server δεν θα ενημερώνεται αυτόματα από προεπιλογή, αλλά οι χρήστες μπορούν να το ενεργοποιήσουν στις ρυθμίσεις τους”, εξηγεί επίσης η Tenable. “Οι χρήστες μπορούν πάντα να ελέγχουν τη σελίδα γενικών ρυθμίσεων για να δουν αν υπάρχουν νέες ενημερώσεις.
