Os serviços de DDoS de aluguel encontraram uma maneira de abusar dos servidores Plex Media para rejeitar o tráfego de lixo eletrônico e amplificar os ataques de negação de serviço distribuído (DDoS), disse a empresa de segurança Netscout.
O alerta da empresa avisa os proprietários de dispositivos que vêm com o Plex Media Server. É um aplicativo da web para Windows, Mac e Linux que serve para streaming de vídeo ou áudio e gerenciamento de ativos multimídia.
O aplicativo pode ser instalado em servidores web regulares. Além disso, geralmente vem com sistemas de armazenamento conectado à rede (NAS), reprodutores de mídia digital ou outros tipos de dispositivos de IoT de streaming de multimídia.
Servidores Plex Media abrem brecha nos Nats do roteador e se tornam vítimas de ataquesDDoS
A Netscout diz que quando um servidor ou dispositivo executando um aplicativo Plex Media Server é inicializado e conectado a uma rede, ele iniciará uma varredura local para outros dispositivos compatíveis por meio do protocolo SSDP (Simple Service Discovery Protocol).
O problema surge quando um Plex Media Server descobre um roteador local com suporte SSDP habilitado. Quando isso acontecer, o Plex Media Server adicionará uma regra de encaminhamento NAT ao roteador, expondo seu serviço Plex Media SSDP (PMSSDP) diretamente na Internet na porta UDP 32414.
Sabe-se que o protocolo SSDP é um vetor perfeito para amplificar o tamanho de um ataque DDoS. Então, isso torna os servidores Plex Media uma fonte interessante e inexplorada de bots DDoS para operações DDoS de aluguel.
Netscout diz que os invasores precisam apenas fazer uma varredura na Internet em busca de dispositivos com essa porta habilitada. Então, em seguida, podem abusar deles para amplificar o tráfego da Web que enviam a uma vítima de ataque DDoS.
De acordo com a Netscout, o fator de amplificação é de cerca de 4,68, com um servidor Plex Media usando os pacotes PMSSDP de entrada de 52 bytes para cerca de 281 bytes, antes de enviar o pacote para a vítima.
Mais de 27 mil servidores Plex media expostos na internet
A empresa de segurança disse que fez uma varredura na Internet. Assim, encontrou 27.000 servidores Plex Media on-line que poderiam serviriam ??para ataques DDoS.
Além disso, alguns servidores já sofreram abusos. A Netscout disse que não só viu ataques DDoS usando servidores Plex Media, mas que esse vetor agora está se tornando comum.
Como é rotineiramente o caso com vetores de ataque DDoS mais recentes, parece que, após um período inicial de emprego por atacantes avançados com acesso à infraestrutura de ataque DDoS sob medida, o PMSSDP foi transformado em arma e adicionado aos arsenais do chamado DDoS de inicialização/estresse serviços de aluguel, colocando-o ao alcance da população de invasores em geral, disse a empresa.
De acordo com a Netscout, os ataques PMSSDP anteriores atingiram cerca de 2-3 Gbps. Entretanto, os servidores podem ser combinados com outros vetores para ataques muito maiores.
Este é o segundo aviso da Netscout sobre um novo vetor de ataque DDoS só este ano. Em janeiro, a empresa avisou que os servidores Windows Remote Desktop Protocol (RDP) também estavam sendo usados ??para ataques DDoS.