آسیب‌پذیری امنیتی در Plex؛ درخواست فوری برای نصب وصله

شرکت Plex روز پنجشنبه برخی از کاربران خود را از طریق ایمیل مطلع کرد تا به‌دلیل وجود یک آسیب‌پذیری امنیتی تازه وصله‌شده، سرورهای Media Server خود را فوراً به‌روزرسانی کنند.

این شرکت هنوز شناسه CVE-ID برای ردیابی این نقص اختصاص نداده و جزئیات بیشتری درباره وصله منتشر نکرده است؛ تنها اعلام کرده که آسیب‌پذیری مذکور نسخه‌های Plex Media Server 1.41.7.x تا ۱٫۴۲٫۰٫x را تحت تأثیر قرار می‌دهد.

چهار روز پس از انتشار به‌روزرسانی‌های امنیتی برای رفع این نقص ناشناخته، Plex به کاربران دارای نسخه‌های آسیب‌پذیر ایمیل ارسال کرده و خواستار به‌روزرسانی سریع شده است.

Plex در ایمیل خود نوشت:
«اخیراً از طریق برنامه bug bounty گزارشی دریافت کردیم مبنی بر وجود یک مشکل امنیتی بالقوه که نسخه‌های Plex Media Server 1.41.7.x تا ۱٫۴۲٫۰٫x را تحت تأثیر قرار می‌دهد. با کمک این کاربر توانستیم مشکل را برطرف کنیم، نسخه به‌روزرسانی‌شده سرور را منتشر کنیم و به بهبود امنیت و دفاع‌های خود ادامه دهیم.»

این شرکت افزود:
«شما این اعلان را دریافت کرده‌اید زیرا اطلاعات ما نشان می‌دهد یکی از سرورهای Plex Media Server مرتبط با حساب شما در حال اجرای نسخه قدیمی است. اکیداً توصیه می‌کنیم همه کاربران در اسرع وقت سرور خود را به آخرین نسخه موجود به‌روزرسانی کنند.»

نسخه Plex Media Server 1.42.1.10060 که این آسیب‌پذیری را رفع می‌کند، از طریق صفحه مدیریت سرور یا بخش دانلود رسمی وب‌سایت Plex قابل دریافت است.

با وجود اینکه شرکت Plex تاکنون جزئیات فنی مربوط به آسیب‌پذیری اخیر را منتشر نکرده است، کاربران توصیه شده‌اند مطابق با دستورالعمل این شرکت، نرم‌افزار خود را در اسرع وقت وصله کنند تا پیش از آنکه مهاجمان با reverse engineering وصله‌ها اقدام به توسعه اکسپلویت نمایند، سیستم‌هایشان ایمن بماند.

اگرچه Plex در سال‌های اخیر با چندین آسیب‌پذیری امنیتی بحرانی و با شدت بالا مواجه بوده است، این مورد از معدود دفعاتی است که این شرکت به‌صورت مستقیم برای مشتریان ایمیل ارسال کرده و از آن‌ها خواسته است سیستم‌های خود را در برابر یک آسیب‌پذیری خاص ایمن‌سازی کنند.

در مارس ۲۰۲۳، سازمان CISA یک آسیب‌پذیری سه‌ساله از نوع Remote Code Execution (RCE) با شناسه CVE-2020-5741 در Plex Media Server را به‌عنوان نقصی که به‌طور فعال مورد سوءاستفاده قرار می‌گیرد، برچسب‌گذاری کرد. Plex دو سال پیش از آن هنگام انتشار وصله‌ها توضیح داده بود که در صورت سوءاستفاده موفقیت‌آمیز، مهاجم می‌تواند سرور را وادار به اجرای کد مخرب کند.

هرچند CISA جزئیاتی درباره حملات بهره‌برداری‌کننده از CVE-2020-5741 منتشر نکرد، اما این حملات احتمالاً با افشای شرکت LastPass مرتبط بوده است؛ جایی که در سال ۲۰۲۲ یکی از سیستم‌های مهندس ارشد DevOps این شرکت هک و با سوءاستفاده از یک آسیب‌پذیری RCE در نرم‌افزار رسانه‌ای شخص ثالث، یک keylogger بر روی آن نصب شد.

مهاجمان از این دسترسی برای سرقت اطلاعات ورود مهندس و در نهایت نفوذ به LastPass corporate vault استفاده کردند. این رخداد به یک نقض داده گسترده در اوت ۲۰۲۲ منجر شد؛ زمانی که مهاجمان نسخه‌های پشتیبان محیط تولید و پایگاه‌های داده حیاتی LastPass را سرقت کردند.

در همان ماه، Plex نیز وقوع یک نقض داده را به کاربران اطلاع داد و از آن‌ها خواست رمز عبور خود را تغییر دهند، چراکه مهاجمان به پایگاه داده حاوی ایمیل‌ها، نام‌های کاربری و رمزهای عبور رمزنگاری‌شده دسترسی پیدا کرده بودند.