DDoS para contratar explota la falla de Plex Media para amplificar sus ataques
Los atacantes se están aprovechando de una falla de seguridad en la forma en que los servidores de Plex Media escanean dispositivos de medios compatibles y clientes de transmisión, dice Netscout.
ApoevAndrey, Getty Images / iStockphoto
Los ciberdelincuentes que se contratan a sí mismos para campañas de denegación de servicio distribuido (DDoS) están intensificando sus ataques al abusar de una popular herramienta de biblioteca de medios.
Dentro una alerta publicada el miércoles, la empresa de monitoreo de red Netscout advirtió sobre un exploit contra Plex Media Server, una biblioteca de medios y un sistema de transmisión que se ejecuta en una variedad de plataformas, incluidas Windows, macOS y Linux, así como en hardware como dispositivos NAS, unidades RAID, y reproductores de medios digitales.
Como parte de su funcionamiento normal, Plex escanea una red local utilizando un protocolo conocido como G’Day Mate (GDM) para encontrar otros dispositivos multimedia y clientes de transmisión compatibles. El sistema también utiliza sondas de Protocolo simple de descubrimiento de servicios (SSDP) para ubicar puertas de enlace Universal Plug and Play (UPnP) en enrutadores de Internet de alta velocidad con SSDP habilitado.
Cuando Plex descubre una puerta de enlace UPnP, intenta utilizar el protocolo de asignación de puertos NAT para implementar reglas de reenvío NAT dinámicas en el enrutador. Aquí es donde radica el problema.
Este proceso expone un Respondedor de registro de servicio Plex habilitado para UPnP a Internet en general, según Netscout. Al hacerlo, Plex se puede aprovechar para reflejar y amplificar Ataques DDoS. Netscout dijo que encontró tráfico de ataque DDoS Plex Media SSDP (PMSSDP) amplificado en enrutadores de acceso a Internet de banda ancha abusados y dirigidos a múltiples objetivos.
VER: Ataques distribuidos de denegación de servicio (DDoS): una referencia rápida (PDF gratuito) (TechRepublic)
En total, se han identificado aproximadamente 27.000 reflectores y amplificadores PMSSDP abusivos. Como resultado, PMSSDP ha sido esencialmente militarizado por servicios de alquiler DDoS.
«El impacto colateral de los ataques de reflexión / amplificación PMSSDP es potencialmente significativo para los proveedores de servicios de Internet de banda ancha cuyos clientes han expuesto inadvertidamente reflectores / amplificadores PMSSDP a Internet», dijo Netscout en su aviso. «Esto puede incluir una interrupción parcial o total del acceso a Internet de banda ancha del cliente final, así como una interrupción adicional del servicio debido al consumo de capacidad de acceso / distribución / agregación / núcleo / peering / tránsito».
Netscout aconseja a los operadores de red que busquen reflectores / amplificadores PMSSDP abusivos en sus redes y en las redes de sus clientes. A partir de ahí, los operadores deberían desactivar SSDP de forma predeterminada en su equipo de acceso a Internet de banda ancha y proporcionar a los clientes los pasos para desactivarlo.
Como consejo general, las empresas también deben asegurarse de que su red e infraestructura estén protegidas contra ataques DDoS. Significa todos los sistemas conectados a Internet. Netscout dijo que en algunos casos ha visto organizaciones que protegen sistemas obvios de esta manera, pero también descuidaron la protección de servidores DNS, servidores de aplicaciones y sistemas de misión crítica, dejándolos aún vulnerables a ataques.
Boletín de seguridad cibernética
Refuerce las defensas de seguridad de TI de su organización manteniéndose actualizado con las últimas noticias, soluciones y mejores prácticas de ciberseguridad. Entregado los martes y jueves
Regístrese hoy
También mira
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
