Attacco a LastPass evitabile con l'aggiornamento di Plex: cosa c'entra un media server con un password manager

Il noto password manager LastPass ha recentemente fatto sapere che dietro le aggressioni subite a partire da agosto 2022 c’è un errore umano. Il mancato aggiornamento di un software di terze parti collegato alla rete domestica utilizzata da un dipendente LastPass sarebbe la causa del problema di sicurezza che si è riverberato su alcuni clienti. Sebbene LastPass non lo citi espressamente, il software multimediale cui fa riferimento il comunicato ufficiale dell’azienda sarebbe Plex.

Gli sviluppatori di Plex Media Server, tuttavia, non c’entrano nulla. Secondo Plex, la vulnerabilità sfruttata dagli aggressori sarebbe quella a cui è stato assegnato l’identificativo CVE-2020-5741: si tratta di una lacuna di sicurezza che è stata risolta addirittura a maggio 2020 e che il dipendente di LastPass avrebbe dimenticato di risolvere installando il corrispondente aggiornamento di sicurezza.

Come spiegava Plex già a suo tempo, un aggressore dotato delle credenziali di accesso al server remoto poteva disporre l’esecuzione di codice malevolo sfruttando la funzionalità Camera Upload.
Se il dipendente LastPass avesse aggiornato Plex Media Server (da quando è stata rilasciata la patch di sicurezza fino a quando essa è stata sfruttata, sono stati rilasciati ben 75 aggiornamenti correttivi), i criminali informatici non avrebbero avuto gioco facile.

La domanda che poniamo, tuttavia, è come gli aggressori si sono impossessati della password di accesso alla piattaforma Plex Media Server del tecnico di LastPass? Quando e come hanno potuto legare le credenziali di accesso al fatto che la vittima fosse un individuo a sua volta dotato di privilegi elevati in LastPass?

In questo caso l’azienda sembra puntare il dito verso un ingegnere del team DevOps. Ma come abbiamo scritto in un articolo pubblicato a suo tempo, oggi si dovrebbe parlare di DevSecOps: l’aspetto della sicurezza non può non rivestire un ruolo di primo piano accanto agli aspetti di sviluppo e a quelli operazionali.

E allora, com’è possibile che un dispositivo che viene portato fuori dall’azienda non sia adeguatamente protetto e monitorato a distanza? Com’è possibile che i dati aziendali non siano stati separati da quelli personali? Com’è possibile che possa esserci una commistione tra credenziali di accesso di alto livello e funzionalità come quelle integrate in un software come Plex Media Server, che è tipicamente utilizzato per finalità spiccatamente personali?

Quanto accaduto a LastPass conferma ancora una volta quanto sia essenziale la protezione dei dati aziendali nell’epoca del lavoro ibrido e flessibile.

Il ricercatore Wladimir Palant ha inoltre messo in evidenza il problema legato alla corretta generazione delle chiavi puntando il dito sul numero di iterazioni utilizzate da LastPass e Bitwarden per generare le chiavi derivate dalla master password.
Di fronte a così tanta incertezza, in un altro nostro articolo vediamo quando gli utenti sono chiamati a cambiare password, anche quando il gestore di un servizio online non li invita esplicitamente a procedere in tal senso.