Un nuevo vector de ataque distribuido de denegación de servicio (DDoS) ha atrapado a los sistemas Plex Media Server para amplificar el tráfico malicioso contra los objetivos para desconectarlos.
«Los procesos de inicio de Plex sin querer exponer a un respondedor registro del servicio UPnP Plex a Internet en general, donde se puede abusar para generar ataques DDoS reflexión / amplificación», los investigadores NetScout dijo en un alerta jueves.
Plex Media Server es una biblioteca de medios personal y un sistema de transmisión que se ejecuta en sistemas operativos modernos de Windows, macOS y Linux, así como variantes personalizadas para plataformas de propósito especial como dispositivos de almacenamiento conectados a la red (NAS) y reproductores de medios digitales. La aplicación de escritorio organiza videos, audio y fotos de la biblioteca de un usuario y de los servicios en línea, lo que permite acceder y transmitir el contenido a otros dispositivos compatibles.
Los ataques DDoS generalmente implican inundar un objetivo legítimo con tráfico de red no deseado que proviene de una gran cantidad de dispositivos que se han acorralado en una botnet, lo que causa de manera efectiva el agotamiento del ancho de banda y provoca importantes interrupciones del servicio.
Un ataque de amplificación DDoS ocurre cuando un atacante envía una serie de solicitudes especialmente diseñadas a un servidor de terceros que hace que el servidor responda con grandes respuestas a una víctima. Esto se hace falsificando la dirección IP de origen para que parezca que es la víctima en lugar del atacante, lo que genera un tráfico que sobrepasa los recursos de la víctima.
Por lo tanto, cuando los terceros responden a la solicitud del atacante, las respuestas se envían al servidor al que se dirige en lugar de al dispositivo atacante que envió la solicitud.
Ahora, según Netscout, los servicios de DDoS por alquiler están armando Plex Media Servers para reforzar su infraestructura de ataque, proporcionando un factor de amplificación promedio de aproximadamente 4,68.
Plex utiliza el Protocolo simple de descubrimiento de servicios (SSDP) para escanear otros dispositivos de medios y clientes de transmisión, pero esto da lugar a un problema cuando la sonda localiza un enrutador de acceso a Internet de banda ancha habilitado para SSDP y, en el proceso, expone el registro del servicio Plex. respondedor directamente en Internet en el puerto UDP 32414.
Fuente: https://thehackernews.com/2021/02/cybercriminals-now-using-plex-media.html
