Plex ได้ออกคำแนะนำด้านความปลอดภัยเร่งด่วนให้กับผู้ใช้แพลตฟอร์มสตรีมมิ่งสื่อยอดนิยมของบริษัท โดยเตือนเกี่ยวกับช่องโหว่ที่สำคัญซึ่งส่งผลกระทบต่อการติดตั้งหลายล้านครั้งทั่วโลก การตัดสินใจที่หายากของบริษัทในการส่งการแจ้งเตือนทางอีเมลโดยตรงไปยังผู้ใช้แสดงให้เห็นถึงความรุนแรงของข้อบกพร่องด้านความปลอดภัยนี้ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากประวัติของ Plex ที่เคยถูกกลุ่มอาชญากรไซเบอร์เป้าหมาย
ช่องโหว่ที่สำคัญถูกค้นพบผ่านโปรแกรม Bug Bounty
ปัญหาด้านความปลอดภัยนี้ถูกระบุผ่านโปรแกรม bug bounty ของ Plex และส่งผลกระทบต่อ Plex Media Server เวอร์ชัน 1.41.7.x ถึง 1.42.0.x แม้ว่าบริษัทจะยังคงเงียบเกี่ยวกับลักษณะเฉพาะของช่องโหว่นี้ แต่ความเร่งด่วนในการตอบสนองของพวกเขาบ่งชี้ถึงภัยคุกคามร้ายแรงต่อความปลอดภัยของผู้ใช้ ยังไม่มีการกำหนดหมายเลขระบุ CVE สำหรับช่องโหว่นี้ และ Plex ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับข้อบกพร่อง ซึ่งน่าจะเป็นการป้องกันการใช้ประโยชน์ในทางที่ผิดในขณะที่ผู้ใช้อัปเดตระบบของตน
เวอร์ชันที่ได้รับผลกระทบ:
- Plex Media Server เวอร์ชัน 1.41.7.x ถึง 1.42.0.x
เวอร์ชันที่แก้ไขแล้ว:
- Plex Media Server เวอร์ชัน 1.42.1.10060 หรือใหม่กว่า
แพลตฟอร์มที่รองรับ:
- Windows
- macOS
- Linux
- อุปกรณ์ NAS
- หน่วยจัดเก็บข้อมูล RAID ภายนอก
- เครื่องเล่นสื่อดิจิทัล
ต้องดำเนินการทันทีสำหรับผู้ดูแลเซิร์ฟเวอร์
Plex กำลังเรียกร้องอย่างแรงให้ผู้ใช้ทั้งหมดที่ใช้เวอร์ชันที่ได้รับผลกระทบอัปเดตทันทีเป็น Plex Media Server เวอร์ชัน 1.42.1.10060 หรือใหม่กว่า การอัปเดตสามารถดาวน์โหลดได้ผ่านหน้าการจัดการเซิร์ฟเวอร์หรือจากส่วนดาวน์โหลดอย่างเป็นทางการของบริษัท การแจ้งเตือนทางอีเมลของบริษัทเน้นย้ำว่าการล่าช้าในการใช้แพตช์นี้อาจทำให้ระบบเสี่ยงต่อการโจมตีที่อาจเกิดขึ้น
บริบททางประวัติศาสตร์เน้นย้ำความรุนแรง
คำแนะนำเร่งด่วนนี้มีน้ำหนักเป็นพิเศษเมื่อพิจารณาจากการมีส่วนร่วมของ Plex ในเหตุการณ์ด้านความปลอดภัยที่มีชื่อเสียงในอดีต โดยเฉพาะอย่างยิ่ง ช่องโหว่ของ Plex ที่ไม่ได้รับการแก้ไขมีบทบาทสำคัญในการละเมิดข้อมูลขนาดใหญ่ของ LastPass ในปี 2022 ในเหตุการณ์นั้น ผู้โจมตีใช้ประโยชน์จาก CVE-2020-5741 ซึ่งเป็นช่องโหว่การดำเนินโค้ดระยะไกล เพื่อเข้าถึงบัญชี Plex ของวิศวกร LastPass การละเมิดนี้ทำให้อาชญากรไซเบอร์สามารถติดตั้ง keylogger และเข้าถึงห้องนิรภัยขององค์กร LastPass ได้ในที่สุด ซึ่งส่งผลกระทบต่อผู้ใช้ตัวจัดการรหัสผ่านหลายล้านคนทั่วโลก
เหตุการณ์ด้านความปลอดภัยในอดีต:
- CVE-2020-5741: ช่องโหว่การดำเนินโค้ดระยะไกลที่ถูกใช้ประโยชน์ในการโจมตี LastPass ปี 2022
- 2021: บริการ DDoS-for-hire ใช้ประโยชน์จากช่องโหว่ของ Plex เพื่อการโจมตีแบบ UDP reflection/amplification
- ผลกระทบต่อ LastPass: วิศวกรใช้ Plex เวอร์ชันที่ล้าหลังกว่าเวอร์ชันปัจจุบันประมาณ 75 รุ่น
ความนิยมของแพลตฟอร์มทำให้เป็นเป้าหมายหลัก
การยอมรับอย่างแพร่หลายของ Plex ในระบบปฏิบัติการหลายระบบรวมถึง Windows, macOS และ Linux พร้อมกับเวอร์ชันพิเศษสำหรับอุปกรณ์ NAS และเครื่องเล่นสื่อดิจิทัล ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ ผู้ใช้งานรายเดือนหลายล้านคนของแพลตฟอร์มแสดงถึงพื้นผิวการโจมตีที่สำคัญ และเหตุการณ์ในอดีตได้แสดงให้เห็นว่าช่องโหว่ของ Plex สามารถถูกใช้ประโยชน์เพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ รวมถึงการโจมตี DDoS และการขโมยข้อมูลประจำตัว
แนวทางปฏิบัติที่ดีด้านความปลอดภัยสำหรับอนาคต
เหตุการณ์นี้เป็นเครื่องเตือนใจถึงความสำคัญของการรักษาซอฟต์แวร์ให้ทันสมัย โดยเฉพาะอย่างยิ่งสำหรับบริการที่เผชิญกับอินเทอร์เน็ตเช่นเซิร์ฟเวอร์สื่อ เมื่อพิจารณาว่าวิศวกร LastPass ที่ได้รับผลกระทบใช้ Plex เวอร์ชันที่ล้าหลังกว่าเวอร์ชันปัจจุบันประมาณ 75 เวอร์ชัน การอัปเดตเป็นประจำจึงมีความสำคัญต่อการรักษาความปลอดภัย ผู้ใช้ควรเปิดใช้งานการอัปเดตอัตโนมัติหากเป็นไปได้ และติดตามคำแนะนำด้านความปลอดภัยของ Plex สำหรับช่องโหว่ในอนาคต