行业新闻与博客

Plex 会将网络钓鱼插入网络,以冒充危险





媒体流和共享服务可解决网络钓鱼问题,从而危害系统风险



安全研究人员发现了 Plex 中的漏洞,这些漏洞为攻击者提供了一种手段,可以攻击设备或访问易受攻击的服务器上的私人视频或图片文件。



由网络安全工具公司 Tenable 发现的系统中的所有三个漏洞已得到修补。



Plex 应用程序允许用户通过类似 Netflix 的体验来组织和流式传输自己的媒体。用户可以在朋友之间共享个人媒体库,也可以从传统流媒体资源中发现相关内容。



该技术在锁定期间越来越受欢迎,促使 Tenable 的安全研究人员将其置于显微镜下。



从三卡式钓鱼到系统盗用

研究人员发现,当三者链接在一起时,这些漏洞使攻击者可以从成功的网络钓鱼攻击转变为获得完整的系统特权。



第一个漏洞(CVE-2020-5742)的出现是因为,如果向用户发送了链接以访问其他人的媒体,则不清楚他们是通过网络钓鱼链接登录到自己的服务器还是攻击者的服务器。



安全弱点是弱源跨域资源共享(CORS)策略的结果,它使攻击者易于诱骗潜在标记来移交其登录凭据。



尽管第一个漏洞是跨平台问题,但该链中的第二个链接仅限于 Windows 系统。此漏洞(CVE-2020-5741)意味着攻击者可以获得对 admin 身份验证令牌的访问权限,该权限将允许他们以与媒体服务器相同的特权远程执行任意代码。



第二个缺陷创建了一种攻击同一网络上其他系统的方法。



第三个漏洞(CVE-2020-5740)也仅限于 Windows,代表本地特权升级到 SYSTEM 风险。



“通过将这三个漏洞链接在一起,攻击者可以从成功的网络钓鱼攻击转变为完整的 SYSTEM 特权,” Tenable 在博客中总结了其主要发现。



有关安全漏洞的更多详细信息,可以在公司的技术博客文章中找到。



Plex Media Server 中的所有三个漏洞都会影响 1.18.2 之前的版本。Plex 已发布了 CVE-2020-5740 和 CVE-2020-5741 的修补程序。默认情况下,不启用自动更新,但是用户可以在其设置中启用此功能。



Plex 还针对网络钓鱼漏洞应用了缓解措施,该漏洞可在用户登录到非 Plex 托管的服务器时向用户发出警报。



Plex 安全团队负责人 Tobias Hieta 赞扬 Tennable 的“高质量安全报告”。



他在 Twitter 帖子中说:“他们在发现一些令人讨厌的漏洞方面做得很好。”



本文由机器译制

 

需要帮助吗?联系我们的支持团队 在线客服