Plex Media服务器被积极滥用以放大DDoS攻击

2021-02-07 10:14:04 4 830

在分布式拒绝服务(DDoS)攻击中,Plex Media Server系统正被出租DDoS服务滥用为UDP反射/放大向量。

https://www.bleepingcomputer.com/news/security/plex-media-servers-actively-abused-to-amplify-ddos-attacks/
Plex Media Server为用户提供了与Windows,macOS,Linux和FreeBSD平台兼容的流系统,以及网络连接存储(NAS)设备,Docker容器等。

Netscout表示,自2020年11月以来观察到的放大的PMSSDP DDoS攻击一直在从暴露的宽带互联网访问路由器滥用UDP / 32414 SSDP HTTP / U响应,并将其重定向到攻击者的目标。
反映到受害者服务器上的垃圾流量来自Plex通过G'Day Mate(GDM)协议发送的用于本地网络服务发现的简单服务发现协议(SSDP)探针。
“从2020年1月1日到现在的攻击总数约为5700次(相比之下,同一时期的攻击总数超过1100万次),”威胁情报经理Richard Hummel Netscout在电子邮件采访中告诉BleepingComputer。
“我们可以看到它的使用可以追溯到11月活动量增加时,但是在大多数情况下,我们看到它的使用是多媒介攻击,而不是主要媒介,这可能会导致在寻找确切的“它开始被使用。”当第一次被问到PMSSDP作为DDoS攻击放大载体时,Hummel说。

在单向量和多向量DDoS攻击中被滥用

通过针对UDP / 32414端口上的PMSSDP反射器/放大器,滥用此UDP反射/放大攻击矢量的攻击的放大率约为4.68:1,峰值约为3 Gbps。
但是,正如Netscout所说,“结合了PMSSDP的多向量(2-10个向量)和全向量(11个或更多向量)攻击的范围从几十Gbps到218 Gbps。
” 攻击者可以利用运行Plex Media Server的大约27,000个暴露的设备来放大DDoS流​​量并将其反射到目标系统上。
Netscout补充说:“应注意,单矢量PMSSDP反射/放大攻击的大小约为2 Gbps –约为3 Gbps,通常足以对目标网络/服务器/服务的可用性产生重大负面影响。”
自2020年11月以来,利用PMSSDP的单矢量和多/全矢量反射/放大攻击的发生率都大大增加,表明它对攻击者有用。
添加到引导服务的武器库
随着更新的DDoS攻击媒介经常发生这种情况,PMSSDP也已被武器化,现在正由引导程序/压力测试DDoS出租服务积极使用。
这些平台经常被恶作剧者或威胁参与者使用,而没有技能或时间来投资建立自己的DDoS攻击基础架构。
租用引导程序服务以针对服务器或站点发动大规模DDoS攻击,以触发拒绝服务,通常会导致拒绝服务或中断在线服务。
一月份,百度安全实验室还报告了使用Plex作为放大载体观察DDoS攻击的情况。 根据ZoomEye的后续报告,并非所有Plex Media Server版本都可以被攻击者滥用。
“经过百度实验室研究人员的测试,发现用于攻击的Plex版本低于1.21,因此可以推断出今年1月下旬发布的Plex 1.21版本已解决了此问题(尽管没有相关信息已在plex官方安全公告中看到),” ZoomEye说。
PMSSDP DDoS缓解
客户在其网络上暴露了PMSSDP反射器/放大器的宽带Internet访问运营商可能会“部分或完全中断最终客户的宽带Internet访问,以及由于访问,分发,聚合,核心,对等或过渡而导致的其他服务中断链路容量消耗。”
尽管过滤UDP / 32414上的所有流量可以缓解此类攻击,但这也可能导致合法流量和连接被阻止。 为了减轻此类攻击的影响,组织可以隔离遭受攻击的最终客户节点和/或过滤可滥用节点上的UDP / 32414通信。
Netscout补充说:“网络运营商应进行侦查,以识别其网络和/或客户网络上的可滥用PMSSDP反射器/放大器。” “强烈建议在运营商提供的宽带Internet访问CPE上默认禁用SSDP,并向最终用户提供有关在通用CPE品牌/型号上禁用SSDP的指南。”
DHS-CISA提供有关如何避免成为DDoS受害者,如何检测DDoS攻击以及在受到DDoS攻击时应采取的措施的指南。
本月早些时候,Netscout报告说,DDoS租用服务现在也滥用Windows远程桌面协议(RDP)服务器,作为反射/放大DDoS向量。 在2019年,Netscout还检测到滥用macOS Apple远程管理服务(ARMS)作为放大媒介的DDoS攻击。 当时观察到的滥用ARMS的DDoS攻击达到了70 Gbps的峰值,放大率为35.5:1。 更新:添加了Netscout威胁情报经理Richard Hummel的声明。 更新2:Plex发言人告诉BleepingComputer,该公司正在测试一个修补程序,该修补程序为暴露的服务器提供额外的保护。
报告此问题的研究人员没有提供任何先前的披露,但Plex现在已意识到该问题,并正在积极致力于解决该问题。 这个问题似乎仅限于少数媒体服务器所有者,他们通过允许来自公共Internet的设备发现端口上的UDP流量到达其服务器来配置错误的防火墙,而我们目前的理解是,它不允许攻击者进行以下操作:损害任何Plex用户的设备安全性或隐私。 Plex正在测试一个简单的补丁程序,该补丁程序可以为那些可能意外暴露并不久将发布的服务器添加额外的保护层。

关于作者

评论4次

要评论?请先  登录  或  注册