[Värskendus: paigatud] Häkkerid võivad muuta teie Plexi serveri võimsaks DDOS-i robotvõrguks
Kui teile meeldib idee luua oma "Netflix" või "Spotify" paljude DVD-de ja CD-de hulgast, mis teil on, on Plex üks parimaid ja ilusamaid valikuid. Kuid nagu turvafirma Netscout paljastas, on teie Plex Media Server võib juba olla järgmise võimsa DDOS-i rünnaku tööriist.
Värskendus: varsti pärast avaldamist andis Plexi pressiesindaja Carm Lyman järgmise avalduse:
Sellest probleemist aru andnud teadlased ei avaldanud eelnevat teavet, kuid Plex on nüüd probleemist teadlik ja tegeleb aktiivselt selle lahendamisega. See probleem näib olevat piiratud vähese hulga meediumiserverite omanikega, kes on oma tulemüürid valesti konfigureerinud, lubades UDP-liiklusel avalikust Internetist seadmetuvastusportides oma serveriteni jõuda, ja meie praegune arusaam on, et see ei võimalda ründajal ohustada mis tahes Plexi kasutaja seadme turvalisust või privaatsust. Plex testib lihtsat plaastrit, mis lisab neile serveritele, mis võisid kogemata kokku puutuda, täiendava kaitsekihi ja vabastab selle peagi.
Värskendame seda artiklit niipea, kui plaaster on saadaval.
Teine värskendus: plaaster on nüüd saadaval. Plex lisas paranduse kohta järgmise märkuse:
"(Turvalisus) Leevendage võimalikku DDoS-i võimendust, vastates ainult LAN-i UDP-päringutele."
Distributed Denial of Service (DDOS) rünnak toimib saidi või teenuse liiklusega üle ujutades. Valdav kasv võib kahandada teenuse, mis pole liikluslainega toimetulemiseks valmis. Üks peamisi põhjusi, miks DDOS-i rünnakud pole enam levinud kui nad juba on, on see, et halvad osalejad vajavad kogu selle liikluse saatmiseks ressursse.
Siin tulevad mängu Plexi meediaserverid. Häkkerid kasutavad haavatavaid Plexi meediaservereid, et võimendada seda, mis muidu oleks nõrk DDOS-rünnak võimsaks DDOS-rünnakuks. Idee ei ole uus: selle asemel, et saata väike hulk liiklust, millega halvad osalejad saavad ise hakkama otse oma lõppsihtmärgile, suunavad nad selle haavatavatesse serveritesse.
Kui nad saadavad haavatavale serverile päringuid, vastab see vastusega. See on oluline, sest "vastus" moodustab sageli suurema andmemahu kui algne päring. Seejärel meelitavad häkkerid haavatavat serverit selle vastuse sihtmärgile saatma – see tähendab, et nad jätavad mulje, et päring pärineb saidilt, mille häkker tahab alla laadida. Seega võimendub väike hulk liiklust tohutuks liikluseks, muutes DDOS-i rünnaku võimsamaks.
Netscouti sõnul on häkkerid pöördunud Plex Media serverite sellesse protsessi. Vaikimisi kasutab see Plexi meediumiserveri seadistamisel GDM-protokolli (G’Day Mate), et leida teie võrgus teisi Plexiga ühilduvaid seadmeid.
Kui see skannimise ajal tuvastab, et teie ruuteril on UPNP (Universal Plug and Play) ja SDDP (teenusetuvastuse protokoll), konfigureerib see ruuteri automaatselt kaugjuurdepääsuks. See on mugavustegur, mis võimaldab teil oma Plexi sisu vaadata isegi siis, kui olete kodust eemal.
Kuid kahjuks on see mugavus haavatavus – see muudab Plexi serverid DDOS-i rünnaku ennustatavaks sihtmärgiks. Häkker saadab teie serverile loodud Plexi pordi kaudu väikese päringu (umbes 52 baiti). Server vastab umbes 281-baidise andmepaketiga, mis on peaaegu viis sama suur kui algrünnak.
Netscouti sõnul avastas see tõendeid selle kohta, et häkkerid on haavatavust juba ära kasutanud ja on seda teinud alates novembrist. Kui turvafirma Internetti skaneeris, leidis ta üle 27 000 rünnakuks avatud Plexi meediaserveri.
Võtsime kommentaari saamiseks ühendust Plexiga, kuid pole veel vastu võtnud. Plexi foorumites vastas töötaja lõimele, mis soovitas rünnaku leevendamiseks muuta pordi vaikesätteid:
Oleme teadetest teadlikud ja uurime neid lähemalt. Meid ei teavitatud sellest eelnevalt, nii et meil pole praegu rohkem teavet kui teil ülejäänud. Portide vahetamine võib olla leevendus, kuid see on kindlasti turvalisuse tagamine. Uuendame foorumeid, kui saame rohkem teada.
Töötaja sõnul ei avaldanud Netscout enne aruande avaldamist teavet Plexile piisavalt. Ja vaikepordi muutmine võib probleemi leevendada, kuid häkkerid võivad tõenäoliselt kohandada oma rünnakut selle toimingu arvessevõtmiseks. Praegu on ainus elujõuline lahendus keelata ruuteris SDDP ja Plexi serveris kaugmängimine. Kuid selle käigus kaotate ühe Plexi parimatest omadustest.
Värskendame seda postitust, kui kuuleme Plexilt püsiva paranduse kohta, mis säilitab kaugesituse funktsioone.