Обновись немедленно. Plex не объясняет зачем, но настаивает так, будто счёт пошёл на часы

уязвимость CVE Plex обновление брешь Plex Media Server
Обновись немедленно. Plex не объясняет зачем, но настаивает так, будто счёт пошёл на часы
уязвимость CVE Plex обновление брешь Plex Media Server

В системе очередной баг. Без CVE и подробностей…

image

Компания Plex предупредила часть пользователей о необходимости срочно обновить свои медиа-серверы из-за уязвимости, информация о которой пока практически не раскрывается. Речь идёт о дефекте, исправленном в последних релизах, но ещё не получившем собственного CVE-идентификатора . По словам разработчиков, проблема затрагивает версии Plex Media Server с ветки 1.41.7.x до 1.42.0.x.

Патч был выпущен несколько дней назад, однако лишь спустя четыре суток Plex разослала адресные уведомления владельцам серверов, всё ещё работающих на уязвимых версиях. В письме компания пояснила, что сигнал о сбое поступил через её программу баг-баунти . Благодаря пользователю, сообщившему об ошибке, инженеры успели закрыть дыру и выпустить обновление. Теперь администраторов предупреждают: если их серверы связаны с указанным диапазоном версий, необходимо как можно скорее обновиться до Plex Media Server 1.42.1.10060. Дистрибутив доступен на странице управления сервером или в разделе официальных загрузок.

Технических подробностей производитель пока не раскрыл, ограничившись рекомендацией немедленно перейти на свежую сборку. Это типичная практика в случаях, когда ещё существует вероятность реверс-инжиниринга патча: злоумышленники могут проанализировать изменения, понять природу закрытой уязвимости и создать рабочий эксплойт. Поэтому именно скорость обновления становится главным фактором безопасности.

Отдельного внимания заслуживает сам факт рассылки писем. Несмотря на то, что Plex за последние годы сталкивалась с критическими и высокоопасными багами, прямая адресная коммуникация с пользователями относительно конкретной уязвимости происходит крайне редко. Обычно компания ограничивается публикацией обновлений и сопроводительных заметок.

История прошлых инцидентов объясняет осторожность компании. В марте 2023 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло в свой каталог эксплуатируемых CVE старую уязвимость удалённого выполнения кода CVE-2020-5741, закрытую ещё в 2020 году. Эксплуатация позволяла заставить Plex Media Server выполнять произвольный код. Позднее выяснилось, что именно этот баг, с высокой вероятностью, использовали хакеры в цепочке атак против LastPass: через стороннее медиаприложение они установили кейлоггер на компьютер одного из старших DevOps-инженеров компании, похитили его учётные данные и тем самым получили доступ к корпоративному хранилищу LastPass. В августе 2022 года это обернулось масштабной утечкой — злоумышленники вывезли резервные копии производственных систем и критически важные базы данных.

Накладывается и другой эпизод: в том же августе 2022 года Plex сообщила о собственном инциденте, когда неизвестный получил доступ к базе данных с адресами электронной почты, именами пользователей и хэшированными паролями. Тогда компания вынуждена была массово заставить клиентов сбросить пароли.