Un nouveau vecteur d’attaque par déni de service distribué (DDoS) a piégé les systèmes Plex Media Server pour amplifier le trafic malveillant contre les cibles afin de les mettre hors ligne.
« Les processus de démarrage de Plex exposent involontairement un répondeur d’enregistrement de service Plex UPnP activé à l’Internet général, où il peut être utilisé de manière abusive pour générer des attaques DDoS par réflexion / amplification », chercheurs de Netscout m’a dit dans une alerte jeudi.
Serveur multimédia Plex est une bibliothèque multimédia personnelle et un système de diffusion en continu qui fonctionne sur les systèmes d’exploitation Windows, macOS et Linux modernes, ainsi que des variantes personnalisées pour des plates-formes spéciales telles que les périphériques de stockage en réseau (NAS) et les lecteurs multimédias numériques. L’application de bureau organise la vidéo, l’audio et les photos à partir de la bibliothèque d’un utilisateur et des services en ligne, permettant d’accéder et de diffuser le contenu vers d’autres appareils compatibles.
Les attaques DDoS impliquent généralement d’inonder une cible légitime de trafic réseau indésirable provenant d’un grand nombre d’appareils qui ont été regroupés dans un botnet, ce qui entraîne un épuisement de la bande passante et des interruptions de service importantes.
UNE Amplification DDoS Une attaque se produit lorsqu’un attaquant envoie un certain nombre de requêtes spécialement conçues à un serveur tiers, ce qui oblige le serveur à répondre avec de grandes réponses à une victime. Cela se fait en usurpant l’adresse IP source pour qu’elle apparaisse comme si elle était la victime au lieu de l’attaquant, ce qui entraîne un trafic qui submerge les ressources de la victime.
Ainsi, lorsque les tiers répondent à la demande de l’attaquant, les réponses sont acheminées vers le serveur ciblé plutôt que vers le dispositif attaquant qui a envoyé la demande.
Désormais, selon Netscout, les services DDoS pour compte d’autrui militarisent les serveurs multimédias Plex pour renforcer leur infrastructure d’attaque, fournissant un facteur d’amplification moyen d’environ 4,68.
Plex utilise le protocole SSDP (Simple Service Discovery Protocol) pour analyser d’autres périphériques multimédias et clients de streaming, mais cela cède la place à un problème lorsque la sonde localise un routeur d’accès Internet haut débit compatible SSDP et, ce faisant, expose l’enregistrement du service Plex répondeur directement sur Internet sur le port UDP 32414.
Pour aggraver les choses, la société de cybersécurité a déclaré à ce jour avoir identifié environ 27 000 serveurs abusifs sur Internet.
« L’impact collatéral des attaques par réflexion / amplification PMSSDP est potentiellement important pour les opérateurs d’accès Internet haut débit dont les clients ont par inadvertance exposé des réflecteurs / amplificateurs PMSSDP à Internet », ont déclaré Roland Dobbins et Steinthor Bjarnason, chercheurs de Netscout.
« Cela peut inclure une interruption partielle ou totale de l’accès Internet haut débit du client final, ainsi qu’une interruption de service supplémentaire due à la consommation de capacité d’accès / distribution / agrégation / cœur / peering / transit. »
Netscout recommande aux opérateurs de réseau de filtrer le trafic dirigé vers UDP / 32414 et de désactiver SSDP sur l’équipement d’accès Internet haut débit fourni par l’opérateur pour atténuer l’attaque.
Le développement vient après Netscout, plus tôt ce mois-ci, signalé que les serveurs RDP (Windows Remote Desktop Protocol) sont utilisés de manière abusive par les services DDoS-for-rent comme vecteur DDoS de réflexion / amplification.
