Фірма з кіберзахисту Netscout попереджає про новий вектор DDoS-атаки за допомогою серверів Plex Media.
Наймані сервіси DDoS знайшли спосіб зловживати серверами Plex Media для створення небажаного трафіку і посилення розподілених атак типу «відмова в обслуговуванні» (DDoS), повідомила в середу охоронна компанія Netscout.
Компанія попереджає власників пристроїв, які поставляються з Plex Media Server. Це веб-застосунок для Windows, Mac і Linux, який зазвичай використовується для потокової передачі відео або аудіо та управління мультимедійними активами.
Застосунок може бути встановлено на звичайних веб-серверах. Також він часто поставляється з системами мережного зберігання (NAS), цифровими медіаплеєрами або іншими типами пристроїв IoT з потокової передачею мультимедіа.
Сервери Plex пробивають діру в NAT маршрутизаторів
Netscout повідомляє, що коли сервер/пристрій, на якому запущений сервіс Plex Media Server, завантажується і підключається до мережі, він запускає локальний сканування інших сумісних пристроїв через протокол виявлення простих служб (SSDP).
Проблема виникає, коли сервер виявляє локальний маршрутизатор з підтримкою SSDP. Коли це стається, такий сервер додає правило переадресації NAT до маршрутизатора, надаючи свою службу Plex Media SSDP (PMSSDP) безпосередньо в Інтернеті через порт UDP 32414.
Оскільки протокол SSDP був відомий протягом багатьох років як ідеальний вектор для збільшення розміру DDoS-атаки, це робить сервери Plex Media цікавим і невикористаним джерелом DDoS-ботів для операцій DDoS за наймом.
Netscout стверджує, що зловмисникам потрібно тільки сканувати Інтернет на предмет пристроїв з включеним портом, а потім зловживати ними, аби посилити веб-трафік, який вони відправляють жертві DDoS-атаки.
Згідно Netscout, коефіцієнт посилення становить близько 4,68, при цьому сервер Plex Media підсилює вхідні пакети PMSSDP з 52 байтів до приблизно 281 байта перед відправкою пакету жертві.
27000 серверів Plex доступні в Інтернеті
Компанія з безпеки заявила, що просканувала Інтернет і виявила 27000 таких серверів, що залишаються відкритими в мережі та можуть бути використані для DDoS-атак.
Більш того, деякі сервери вже використовувалися для зловживань. Netscout заявила, що не тільки спостерігала DDoS-атаки з використанням серверів Plex Media, а й що цей вектор тепер стає звичайним явищем.
«Як це зазвичай буває з новими векторами DDoS-атак, схоже, що після початкового періоду роботи просунутими зловмисниками з доступом до індивідуалізованої інфраструктурі DDoS-атак, PMSSDP був перетворений в зброю і доданий в арсенали так званих Booter/Stresser послуг по найму, що робить їх доступними для більшості зловмисників», – заявили в компанії.
Згідно Netscout, минулі атаки PMSSDP досягли приблизно 2-3 Гбіт/с, але сервери можуть бути об’єднані з іншими векторами для набагато більших атак.
Читайте також:
Яка чудова новина, яка гарна стаття і компанія NetScout. А що далі? Де висновки, рекомендації, способи розв’язання проблеми? Знести сервер Plex?
Це новина про те, що треба щось робити, якщо у вас є сервер Plex :)
Мабуть у розрообника повинна бути інструкція, шукайте. Наша задача проінформувати.