Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Leverancier van mediaserversoftware Plex is niet bekend met het bestaan van zerodaylekken in de software, zo laat het bedrijf weten na berichtgeving dat een kwetsbaarheid in Plex gebruikt zou zijn voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer.

Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer.

ArsTechnica meldde op basis van een anonieme bron dat de niet nader genoemde software Plex was. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. De aanval op LastPass waarbij klant- en kluisgegevens werden gestolen vond vorig jaar plaats, in de periode van 12 augustus tot 26 oktober.

Op 24 augustus waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten. Of er een verband is tussen de inbraak bij Plex en LastPass is onbekend.

Via Reddit laat een medewerker van Plex weten dat het bedrijf niet bekend is met kritieke kwetsbaarheden die voor het verschijnen van een beveiligingsupdate bekend zijn geworden. Ook heeft LastPass geen contact met Plex opgenomen, aldus de medewerker.

"Wanneer kwetsbaarheden via responsible disclosure worden gemeld lossen we die snel en grondig op, en we hebben nog nooit meegemaakt dat er een kritieke kwetsbaarheid openbaar is geworden waarvoor nog geen gepatchte versie beschikbaar was. En wanneer we zelf met incidenten te maken hebben, kiezen we ervoor om er altijd snel over te communiceren. We zijn niet bekend met ongepatchte kwetsbaarheden", laat de medewerker verder weten. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.