Resulta que la brecha masiva en LastPass podría haberse detenido, o al menos retrasado, si un empleado de la empresa hubiera actualizado una pieza de software en la computadora de su hogar.
Esta semana, LastPass reveló que el pirata informático logró la infracción al instalar malware en la computadora de la casa de un empleado, lo que les permitió capturar las pulsaciones de teclas en la máquina. Pero una pregunta persistente era cómo se entregó el malware.
En ese momento, LastPass dijo(Se abre en una nueva ventana) solo que el pirata informático explotó «un paquete de software de medios de terceros vulnerable», sin nombrar al proveedor o la falla exacta. Eso llevó a muchos a preguntarse si el pirata informático había abusado de una vulnerabilidad actualmente desconocida, que podría poner en peligro a muchos otros usuarios.
Desde entonces, PCMag se enteró de que el pirata informático apuntó al software Plex Media Server para cargar el malware en la computadora de la casa del empleado de LastPass. Pero curiosamente, la falla explotada no era nada nuevo. Según Plex, la vulnerabilidad tiene casi tres años y fue reparada hace mucho tiempo.
Plex le dijo a PCMag que la vulnerabilidad es CVE-2020-5741(Se abre en una nueva ventana)que la compañía reveló públicamente a los usuarios en mayo de 2020. “Un atacante que ya tenía acceso de administrador a un Plex Media Server podría abusar de la función de carga de la cámara para hacer que el servidor ejecute código malicioso”, dijo la compañía en ese momento.
(Crédito: Plex)
“En ese momento, como se indica en esa publicación, se puso a disposición de todos una versión actualizada de Plex Media Server (7 de mayo de 2020)”, dijo un portavoz de Plex. “Desafortunadamente, el empleado de LastPass nunca actualizó su software para activar el parche. Como referencia, la versión que abordó este exploit fue hace aproximadamente 75 versiones”.
LastPass se negó a comentar. Pero a principios de esta semana, la compañía confirmó que «el actor de amenazas explotó una vulnerabilidad en una versión anterior sin parches de Plex Media Server en la computadora de la casa de un ingeniero de LastPass DevOps. Nos comunicamos con Plex Media Server para informarles».
Se desconoce por qué el empleado de LastPass no actualizó su Plex Media Server. Plex le dijo a PCMag que la compañía «proporcionará notificaciones a través de la interfaz de usuario de administración sobre las actualizaciones disponibles y también realizará actualizaciones automáticas en muchos casos».
«Sin más información sobre todos los detalles, no tenemos forma de especular por qué esta persona no actualizó Plex durante un período de tiempo tan prolongado», agregó el portavoz.
Recomendado por Nuestros Editores
El incidente demuestra la importancia de mantener su software actualizado. Dicho esto, es importante tener en cuenta que el hacker ya poseía acceso de administrador a la cuenta del Plex Media Server del empleado para explotar la falla CVE-2020-5741. Esto sugiere que el atacante ya se estaba aprovechando del empleado de LastPass y podría haber encontrado otras formas de infectar su computadora con malware.
Aún así, la brecha en LastPass muestra que la compañía cometió otro error al permitir que el empleado usara la computadora de su casa para acceder a datos extremadamente confidenciales. Según LastPass, el pirata informático plantó malware de registro de teclas en la computadora de la casa, lo que les permitió «capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA (autenticación de múltiples factores), y obtener acceso a la contraseña corporativa de LastPass del ingeniero de DevOps». bóveda.»
Luego, el acceso allanó el camino para que el hacker robara una copia de las bóvedas de contraseñas encriptadas de los clientes, junto con datos no encriptados sobre la información de la cuenta de los usuarios, incluidas las direcciones de correo electrónico y los números de teléfono. Desde entonces, la brecha ha destruido la confianza en LastPass, pero la compañía ha estado trabajando para reforzar su seguridad en respuesta.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.