Όπως δήλωσε η εταιρεία ασφαλείας Netscout, οι κακόβουλοι παράγοντες έχουν βρει έναν καινούριο τρόπο να χρησιμοποιούν τους Plex Media servers, για να προωθήσουν ανεπιθύμητη κυκλοφορία και να ενισχύσουν τις κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS).
Η εταιρεία προειδοποιεί τους κατόχους συσκευών που αποστέλλονται με Plex Media Server, μια εφαρμογή ιστού για Windows, Mac και Linux που συνήθως χρησιμοποιείται για ροή βίντεο ή ήχου και διαχείριση στοιχείων πολυμέσων.
Η εφαρμογή μπορεί να εγκατασταθεί σε κανονικούς διακομιστές ιστού ή συνήθως περιλαμβάνεται σε συστήματα αποθήκευσης συνδεδεμένου δικτύου (NAS), συσκευές αναπαραγωγής ψηφιακών μέσων ή άλλους τύπους συσκευών IoT ροής πολυμέσων.
Η Netscout λέει ότι όταν ένας διακομιστής / συσκευή που εκτελεί μια εφαρμογή Plex Media Server εκκινείται και συνδέεται σε ένα δίκτυο, θα ξεκινήσει μια τοπική σάρωση για άλλες συμβατές συσκευές μέσω του Simple Service Discovery Protocol (SSDP).
Το πρόβλημα παρουσιάζεται όταν ένας διακομιστής PΙex Media ανακαλύπτει έναν τοπικό δρομολογητή που έχει ενεργοποιημένη την υποστήριξη SSDP. Όταν συμβεί αυτό, ο Plex Media Server θα προσθέσει έναν κανόνα προώθησης NAT στον δρομολογητή, εκθέτοντας την υπηρεσία Plex Media SSDP (PMSSDP) απευθείας στο Διαδίκτυο μέσω της θύρας UDP 32414.
Δεδομένου ότι το πρωτόκολλο SSDP είναι γνωστό εδώ και χρόνια ότι είναι ένας τέλειος φορέας για την ενίσχυση των επιθέσεων DDoS, αυτό καθιστά τους διακομιστές Plex Media μια ελκυστική και ανεκμετάλλευτη πηγή bot DDoS για επιθέσεις DDoS-for-hire.
Η Netscout λέει ότι οι εισβολείς σαρώνουν αρχικά το Διαδίκτυο για συσκευές που έχουν ενεργοποιημένη αυτήν τη θύρα και στη συνέχεια τις καταχρώνται για να ενισχύσουν τον αριθμό των αιτημάτων που στέλνουν σε ένα θύμα επίθεσης DDoS.
Σύμφωνα με τον Netscout, ο συντελεστής ενίσχυσης είναι περίπου 4,68, με έναν διακομιστή Plex Media να ενισχύει τα εισερχόμενα πακέτα PMSSDP από 52 bytes σε έως και 281 bytes, πριν από την αποστολή του πακέτου στο θύμα.
Η εταιρεία ασφαλείας δήλωσε ότι ανακάλυψε 27.000 διακομιστές Plex Media που έχουν εκτεθεί στο Διαδίκτυο, οι οποίοι θα μπορούσαν να καταχραστούν για επιθέσεις DDoS. Επιπλέον, ορισμένοι διακομιστές είχαν ήδη καταχραστεί.
Σύμφωνα με το Netscout, οι προηγούμενες επιθέσεις PMSSDP έχουν φτάσει περίπου τα 2-3 Gbps, αλλά οι διακομιστές θα μπορούσαν να συνδυαστούν με άλλους φορείς για πολύ μεγαλύτερες επιθέσεις.
Αυτή είναι η δεύτερη προειδοποίηση της εταιρείας σχετικά με έναν νέο φορέα επίθεσης DDoS που ανακαλύφθηκε στο διαδίκτυο φέτος. Τον Ιανουάριο, η εταιρεία προειδοποίησε ότι οι διακομιστές Windows Remote Desktop Protocol (RDP) καταχράστηκαν επίσης για επιθέσεις DDoS.
