A Plex emitiu um alerta durante a passada quinta-feira, instando os utilizadores a atualizarem os seus servidores de multimédia com a máxima urgência. A notificação, enviada por email a utilizadores com versões vulneráveis, surge na sequência da correção de uma falha de segurança descoberta recentemente.
A empresa recomenda que todos os que utilizam as versões 1.41.7.x a 1.42.0.x do Plex Media Server instalem a versão mais recente o mais rapidamente possível.
Uma correção misteriosa mas urgente
Quatro dias após o lançamento da atualização de segurança, a Plex decidiu contactar diretamente os utilizadores afetados, uma medida que sublinha a gravidade da situação. Na comunicação, a empresa explica que foi alertada para a vulnerabilidade através do seu programa de recompensas por bugs (bug bounty), agradecendo ao utilizador que a reportou.
No entanto, a Plex não forneceu detalhes técnicos sobre a natureza da falha, nem lhe foi atribuído, até ao momento, um identificador CVE (Common Vulnerabilities and Exposures). A única informação concreta é que a versão 1.42.1.10060 do software corrige o problema. Esta versão pode ser descarregada através da página de gestão do servidor ou diretamente na página oficial de downloads da empresa.
O histórico da Plex serve de aviso
Embora a falta de detalhes possa levar alguns a adiar a atualização, o histórico de segurança da Plex serve como um forte aviso. Em março de 2023, a agência de cibersegurança norte-americana CISA alertou que uma falha antiga de execução remota de código (RCE) no Plex Media Server (CVE-2020-5741) estava a ser ativamente explorada por cibercriminosos.
Essa mesma vulnerabilidade foi associada ao grave ciberataque sofrido pela LastPass em 2022. Os atacantes terão explorado a falha no computador de um engenheiro da LastPass para instalar um keylogger, roubar as suas credenciais e, consequentemente, comprometer os cofres da empresa, resultando numa fuga de dados massiva.
Adicionalmente, em agosto de 2022, a própria Plex notificou os seus utilizadores sobre uma fuga de dados que expôs emails, nomes de utilizador e passwords encriptadas, obrigando a uma reposição generalizada das palavras-passe.
Perante este contexto e a comunicação direta e invulgar por parte da empresa, a recomendação é clara: mesmo sem detalhes técnicos, todos os utilizadores devem atualizar o seu Plex Media Server para a versão mais recente sem demoras.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech