Los servicios DDoS contratados están aprovechando la falla de Plex Media para amplificar sus ataques


Los atacantes se están aprovechando de una falla de seguridad en la forma en que los servidores Plex Media buscan dispositivos de medios compatibles y clientes de transmisión, dice Netscout.

istock-844027734.jpg

ApoevAndrey, Getty Photographs / iStockphoto

Los ciberdelincuentes que se contratan para campañas DDoS (Denegación de servicio distribuida) están reforzando sus ataques al abusar de una well known herramienta de biblioteca de medios.

En una alerta publicada el miércoles, la empresa de monitoreo de redes Netscout advirtió sobre un exploit contra Plex Media Server, una biblioteca de medios y un sistema de transmisión que se ejecuta en una variedad de plataformas, incluidas Home windows, macOS y Linux, así como en hardware como dispositivos NAS, unidades RAID y digitales. reproductores multimedia.

Como parte de su funcionamiento normal, Plex escanea una purple neighborhood utilizando un protocolo conocido como G&#39Day Mate (GDM) para encontrar otros dispositivos multimedia y clientes de transmisión compatibles. El sistema también utiliza sondas de Protocolo uncomplicated de descubrimiento de servicios (SSDP) para rastrear puertas de enlace Universal Plug and Perform (UPnP) en enrutadores de Web de banda ancha que tienen SSDP habilitado.

Cuando Plex descubre una puerta de enlace UPnP, intenta utilizar el protocolo de asignación de puertos NAT para implementar reglas de reenvío NAT dinámicas en el enrutador. Aquí radica el problema.

Este proceso expone un respondedor de registro de servicio habilitado para Plex UPnP a Web en common, según Netscout. Al hacerlo, Plex se puede explotar para reflejar y amplificar los ataques DDoS. Netscout dijo que encontró tráfico de ataque DDoS Plex Media SSDP (PMSSDP) amplificado en enrutadores de acceso a World wide web de banda ancha abusados ​​dirigidos a varios objetivos.

VER: Ataques distribuidos de denegación de servicio (DDoS): una hoja de trucos (PDF gratuito) (TechRepublic)

En whole, se han identificado alrededor de 27.000 reflectores y amplificadores PMSSDP que se pueden abusar. Como resultado, PMSSDP ha sido esencialmente armado por los servicios de DDoS por contrato.

«El impacto colateral de los ataques de reflexión / amplificación PMSSDP es potencialmente significativo para los operadores de acceso a World-wide-web de banda ancha cuyos clientes han expuesto inadvertidamente reflectores / amplificadores PMSSDP a Web», dijo Netscout en su aviso. «Esto puede incluir la interrupción parcial o full del acceso a World-wide-web de banda ancha del cliente ultimate, así como una interrupción adicional del servicio debido al consumo de capacidad de enlace de acceso / distribución / agregación / núcleo / peering / tránsito».

Netscout aconseja a los operadores de pink que busquen reflectores / amplificadores PMSSDP abusivos en sus redes y en las redes de sus clientes. A partir de ahí, los operadores deben deshabilitar SSDP de forma predeterminada en su equipo de acceso a World-wide-web de banda ancha y proporcionar a los clientes los pasos para deshabilitarlo también.

Como consejo normal, las organizaciones también deben asegurarse de que su red e infraestructura estén protegidas contra ataques DDoS. Esto significa todos los sistemas conectados a Net. Netscout dijo que, en algunos casos, ha visto organizaciones que protegen sistemas obvios de esta manera, pero se olvidan de proteger también los servidores DNS, los servidores de aplicaciones y los sistemas críticos, lo que los deja vulnerables a los ataques.

De forma más permanente, Plex está trabajando para parchear la propia vulnerabilidad.

«Los investigadores que informaron sobre este problema no proporcionaron ninguna divulgación previa, pero Plex ahora está al tanto del problema y está trabajando activamente para abordarlo», dijo un portavoz de Plex.

«Este problema parece estar limitado a una pequeña cantidad de propietarios de servidores de medios que han configurado mal sus firewalls al permitir que el tráfico UDP en los puertos de detección de dispositivos de la World-wide-web pública llegue a sus servidores, y nuestro entendimiento actual es que no permite que un atacante comprometer la seguridad o privacidad del dispositivo de cualquier usuario de Plex «, explicó el portavoz. «Plex está probando un parche uncomplicated que agrega una capa adicional de protección para aquellos servidores que pueden haber sido expuestos accidentalmente y lo lanzará en breve».

Ver también



Enlace a la noticia initial