Медиа-серверы Plex используются для усиления DDoS-атак
Новая проблема сетевой безопасности вызывает головную боль у жертв DDoS-атак. По данным компании по безопасности Netscout, несколько служб DDoS нашли способ использовать Plex Media Server для усиления нежелательного трафика, который они направляют к целям во время атак. Исследователи утверждают, что при правильном использовании сервер Plex может увеличить размер DDoS-пакетов почти в пять раз, делая эти атаки гораздо более опасными. Пользователи Plex сейчас тоже мало что могут с этим поделать.
Plex - это программа для управления мультимедиа и потоковой передачи, которую можно установить на компьютер или сетевое хранилище. Он каталогизирует, упорядочивает и транслирует вашу видео- и аудиоколлекцию. Он даже может перекодировать файлы в режиме реального времени, поэтому вы можете просматривать их практически на любом устройстве через клиент Plex. Однако Plex предназначен для потоковой передачи мультимедиа как внутри, так и за пределами вашей локальной сети. Хотя вам нужна учетная запись для удаленного входа в систему, Plex по-прежнему виден в общедоступном Интернете на порту 32414, который он открывает через протокол обнаружения простых служб (SSDP) на совместимых маршрутизаторах.
Атака не требует от злоумышленников входа на ваш сервер Plex или установки чего-либо в вашей сети. DDoS просто обманом заставляет Plex проверять неверный IP-адрес. Сервер получает пакеты через открытый порт, которые, похоже, пришли с определенного IP-адреса. Однако этот адрес является целью злоумышленника, а не сам злоумышленник. Netscout утверждает, что ответные пакеты Plex могут иметь размер до 281 байта, что в 4,68 раза превышает размер исходных данных.
Название игры в DDoS-атаках - это пропускная способность. Netscout утверждает, что атаки Plex Media SSDP (PMSSDP) могут генерировать 2–3 Гбит / с данных, чего достаточно для сбоя небольших веб-сайтов и сервисов. С помощью многовекторных DDoS-атак и PMSSDP можно достичь сотен гигабит.
Plex заявляет, что не было предупреждено об угрозе заранее, но Netscout заявляет, что эта атака уже широко распространена и даже становится «распространенной». Однако было бы неплохо, если бы перед публикацией было какое-то общение с Plex. Netscout утверждает, что с PMSSDP подключено около 27 000 серверов Plex.
На форумах Plex разработчики говорят, что компания изучает отчеты. Некоторые пользователи предложили вручную изменить порт удаленного доступа к Plex Media Server, но это игра «безопасность через неясность». Единственный надежный способ удержать ваш сервер от усиления DDoS прямо сейчас - это полностью отключить удаленный доступ или вручную настроить брандмауэр маршрутизатора, чтобы блокировать весь трафик UDP на вашем порту Plex.