Plexは木曜日、最近パッチが適用されたセキュリティ脆弱性のため、メディアサーバーを緊急アップデートするよう一部のユーザーに通知した。
同社は、この欠陥を追跡するためのCVE-IDをまだ割り当てておらず、パッチに関する追加情報は提供しておらず、Plex Media Serverのバージョン1.41.7.xから1.42.0.xに影響するとだけ述べている。
謎のセキュリティ・バグに対処するセキュリティ・アップデートをリリースしてから4日後の昨日、Plexは、影響を受けるバージョンを実行しているユーザーに対し、できるだけ早くソフトウェアをアップデートするよう電子メールで通知した。
「バグ報奨金プログラムを通じて、Plex Media Serverバージョン1.41.7.xから1.42.0.xに潜在的なセキュリティ問題があるという報告を最近受けました。
“あなたのPlexアカウントが所有するPlex Media Serverが古いバージョンのサーバーを実行していることが我々の情報により判明したため、あなたはこの通知を受け取っています。我々は、あなたがまだそうしていない場合は、できるだけ早く彼らのPlex Media Serverを最新バージョンに更新することを強くお勧めします。”
この脆弱性を修正したバージョンであるPlex Media Server 1.42.1.10060は、サーバー管理ページまたは公式ダウンロードページからダウンロードできます。
Plexは今のところ脆弱性に関する詳細を共有していないが、ユーザーは同社のアドバイスに従い、脅威行為者がパッチをリバースエンジニアリングしてエクスプロイトを開発する前に、ソフトウェアにパッチを当てることをお勧めする。
Plexは何年にもわたり、重大で深刻度の高いセキュリティ上の欠陥を経験してきたが、これは同社が特定の脆弱性に対するシステムの安全確保について顧客に電子メールを送った数少ない例のひとつである。
2023年3月、CISAはPlex Media Serverにおける3年前のリモート・コード実行(RCE)の欠陥(CVE-2020-5741)を、攻撃において積極的に悪用されているとしてタグ付けした。Plexが2年前にパッチをリリースした際に説明したように、悪用に成功すると、攻撃者はサーバーに悪意のあるコードを実行させることができる。
サイバーセキュリティ機関は、CVE-2020-5741を悪用した攻撃に関する情報を提供していないが、おそらくLastPassが2022年に同社のシニアDevOpsエンジニアの1人のコンピュータがハッキングされ、サードパーティ製メディアソフトウェアのRCEバグを悪用してキーロガーをインストールされたことを公表したことに関連していると思われる。
攻撃者はこのアクセスを悪用してエンジニアの認証情報を盗み出し、LastPassの企業データ保管庫を侵害しました。その結果、LastPassの本番バックアップと重要なデータベースバックアップが盗まれ、2022年8月に大規模なデータ侵害が発生しました。
同月、Plexもまた、攻撃者が電子メール、ユーザー名、暗号化されたパスワードを含むデータベースにアクセスした後、データ侵害をユーザーに通知し、パスワードのリセットを求めた。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments