Аналитики компании NetScout предупредили, что хакеры нашли способ использовать системы с установленным Plex Media Server для усиления DDoS-атак. Проблема заключается в том, что приложение можно не только установить на обычный веб-сервер, но оно часто поставляется с устройствами NAS, медиаплеерами или другими IoT-девайсами.

По данным специалистов, все дело в том, что когда сервер или устройство, на котором запущен Plex Media Server, загружается и подключается к сети, запускается локальное сканирование для поиска совместимых устройств и для этого используется протокол SSDP. И если Plex Media Server обнаруживает локальный маршрутизатор с включенной поддержкой SSDP, он добавляет специальное NAT-правило, чтобы сервис Plex Media SSDP (PMSSDP) был доступен через интернет (порт UDP 32414).

Увы, протокол SSDP уже давно известен как излюбленный злоумышленниками вектор для усиления мощности DDoS-атак, а значит девайсы с установленным Plex Media Server – это интересная цель для злоумышленников. Согласно Netscout, коэффициент усиления DDoS в таком случае составляет около 4,68, то есть Plex Media Server усиливает входящие пакеты PMSSDP с 52 байтов до примерно 281 байта.

Исследователи предупреждают, что обнаружили в сети более 27 000 устройств с Plex Media Server, которые могут быть использованы для DDoS-атак. Хуже того, хакерам уже известно об этом способе амплификации, и эксперты Netscout пишут, что не просто наблюдали такие атаки, но они уже становятся обычным делом. PMSSDP-атаки обычно достигают пиковой мощности 2-3 Гбит/сек, но, по словам специалистов, это не предел.

«Общее количество атак [с использованием PMSSDP] с 1 января 2020 года по сегодняшний день составило примерно 5700 (от общего числа в 11 000 000 атак, которые мы наблюдали за этот период), — уточили представители Netscout в беседе с журналистами Bleeping Computer. — Мы заметили использование этого способа еще в ноябре 2020 года, когда активность резко возросла, но в большинстве случаев мы видим, что его используют в мультивекторных атаках, а не в качестве основного вектора».

Оставить мнение