Plex parchea un mistake del servidor de medios potencialmente explotado por los atacantes DDoS


Se insta a todos los usuarios de Plex Media Server a aplicar la revisión, que indica a sus servidores que respondan a las solicitudes UDP solo desde la crimson nearby y no desde la Web pública.

Error de pirata informático para la protección de Internet. Defensa de datos informáticos

Imagen: iStockphoto / ArtHead-

La empresa de medios Plex ha solucionado una vulnerabilidad en su servidor de medios que los piratas informáticos podrían haber utilizado para fortalecer los ataques DDoS. En un anuncio lanzado el viernes pasado y actualizado el sábado, Plex dijo que ha emitido la revisión 66 para que Plex Media Server corrija la falla en su producto.

VER: 10 vulnerabilidades de aplicaciones peligrosas a tener en cuenta (PDF gratuito) (TechRepublic)

Descrito en un alerta emitida por la empresa de monitoreo de red Netscout Un par de días antes, los ciberdelincuentes podrían haber utilizado Plex Media Server para amplificar los ataques DDoS respondiendo a UDP (User Datagram Protocol) solicitudes de la Online pública.

Netscout dijo que descubrió tráfico de ataque DDoS Plex Media SSDP (PMSSDP) amplificado en enrutadores de acceso a Online de banda ancha abusados ​​dirigidos a diferentes objetivos.

Para evitar que se explote el error, Plex dijo que su nueva revisión limitará su servidor de medios para responder solo a solicitudes UDP solo de la crimson community y no de la Online pública. La solución está disponible en Plex Media Server v1.21.3.4014 o más reciente y es accesible tanto para usuarios públicos como beta de Plex Media Server a través del página de descargas standard.

Para aclarar ciertos detalles, Plex dijo que el exploit no habría permitido a los atacantes acceder a datos privados o realizar cambios en las cuentas de sus usuarios. En cambio, la falla podría haber causado que un servidor afectado «reflejara» los paquetes UDP como una forma de amplificar un ataque DDoS contra otro servidor o red en Net. Un alerta de CISA (Cybersecurity & Infrastructure Protection Company) explica cómo funcionan los ataques de amplificación basados ​​en UDP.

Plex también discrepó con ciertas afirmaciones hechas por Netscout en su informe. Un portavoz de Plex le dijo a TechRepublic que el informe period correcto al decir que un servidor de medios Plex accesible a través de la Online pública a través de UDP en el puerto 32414 podría usarse para reflejar el tráfico y amplificar un ataque DDoS. Sin embargo, la afirmación del informe de que Plex Media Server abrirá el acceso a UDP en el puerto 32414 fue incorrecta, según el portavoz.

«Si un usuario de Plex Media Server elige habilitar el acceso remoto, Plex Media Server intentará usar UPnP para abrir el acceso a TCP en el puerto 32400», dijo el vocero. «32414 / UDP nunca necesita ser accesible de forma remota y Plex Media Server nunca intentará abrir ese acceso».

Para que un servidor de medios Plex se utilice en el tipo de amplificación DDoS descrito en el informe, tendría que estar detrás de un firewall mal configurado (o sin ningún firewall), dijo el portavoz. Para resolver problemas con cualquiera de estos servidores detrás de un firewall mal configurado, la versión true del producto ignora cualquier tráfico UDP dirigido desde o hacia redes remotas.

En respuesta a las preocupaciones de Plex, Hardik Modi, vicepresidente asistente de ingeniería de Netscout, dijo que el informe inicial se actualizó durante el fin de semana con la información más reciente sobre el parche. En este punto, alrededor de 37,000 servidores Plex de los que se puede abusar ahora se pueden observar en Online, según Netscout. Además, Modi dijo que Netscout encontró 5.500 ataques DDoS separados que involucraban este exploit, aprovechando alrededor de 15.500 servidores Plex separados.

En respuesta a las acusaciones de Plex de que ciertos aspectos del informe de Netscout eran incorrectos, Modi dijo que todos los detalles relacionados con la prevalencia y la capacidad de abuso de estos servidores eran precisos. Incluso si la posibilidad de abuso se debiera a una configuración incorrecta del usuario, el resultado sería una gran cantidad de implementaciones abusivas.

«Desde la perspectiva del operador de purple y la víctima, el impacto de los ataques no cambia los sistemas Plex abusivos se están utilizando en ataques DDoS y nuestra guía aún se mantiene», dijo Modi. «La implementación generalizada de la nueva actualización de software será la solución sistémica para el uso de este vector y agradecemos los pasos que ha tomado Plex».

Finalmente, Plex también ofreció los siguientes consejos para los usuarios de su producto Media Server:

  1. Si está conectado directamente a la Online pública, configure el firewall de su servidor para bloquear el tráfico en los puertos «adicionales» mencionados en este artículo de soporte.
  2. Cuando utilice un enrutador que realice NAT (esto incluye la mayoría de los sistemas de consumo), configúrelo para que no reenvíe el tráfico UDP en estos puertos «adicionales» desde la Web pública al dispositivo que ejecuta Plex Media Server.

Nota del editor: este artículo ha sido actualizado con comentarios de Netscout.

Ver también



Enlace a la noticia initial