[Päivitys: Patched] Hakkerit saattavat muuttaa Plex-palvelimestasi tehokkaan DDOS-bottiverkon
Jos pidät ajatuksesta luoda oma "Netflix" tai "Spotify" monista ympärilläsi olevista DVD- ja CD-levyistä, Plex on yksi parhaista ja kauneimmista vaihtoehdoista. Mutta kuten turvallisuusyritys Netscout paljasti, sinun Plex Media Server voi jo olla työkalu seuraavassa tehokkaassa DDOS-hyökkäyksessä.
Päivitys: Pian julkaisun jälkeen Plexin tiedottaja Carm Lyman antoi tämän lausunnon:
Tästä ongelmasta raportoineet tutkijat eivät antaneet mitään ennakkoilmoitusta, mutta Plex on nyt tietoinen ongelmasta ja työskentelee aktiivisesti sen ratkaisemiseksi. Tämä ongelma näyttää rajoittuvan pieneen joukkoon mediapalvelinten omistajia, jotka ovat määrittäneet palomuurinsa väärin sallimalla julkisen Internetin laitehakuporttien UDP-liikenteen päästä palvelimilleen. Nykyinen käsityksemme on, että se ei salli hyökkääjän vaarantaa minkä tahansa Plex-käyttäjän laitteen turvallisuuden tai yksityisyyden. Plex testaa yksinkertaista korjaustiedostoa, joka lisää ylimääräisen suojakerroksen niille palvelimille, jotka ovat saattaneet paljastua vahingossa, ja julkaisee sen pian.
Päivitämme tämän artikkelin heti, kun korjaustiedosto on saatavilla.
Toinen päivitys: korjaustiedosto on nyt saatavilla. Plex sisälsi seuraavan huomautuksen korjauksesta:
"(Turvallisuus) Vähennä mahdollista DDoS-vahvistusta vastaamalla vain lähiverkon UDP-pyyntöihin."
DDOS (Distributed Denial of Service) -hyökkäys toimii täyttämällä sivuston tai palvelun liikenteellä. Ylivoimainen nousu voi kaataa palvelun, joka ei ole valmis käsittelemään liikenneaaltoa. Yksi tärkeimmistä syistä, miksi DDOS-hyökkäykset eivät ole yleisempiä kuin ne jo ovat, on se, että huonot toimijat tarvitsevat resursseja kaiken liikenteen lähettämiseen.
Siellä Plex-mediapalvelimet tulevat peliin. Hakkerit käyttävät haavoittuvia Plex-mediapalvelimia vahvistaakseen muuten heikon DDOS-hyökkäyksen tehokkaaksi DDOS-hyökkäykseksi. Idea ei ole uusi: sen sijaan, että huonot toimijat lähettäisivät pienen määrän liikennettä, jotka selviävät itse suoraan lopulliseen kohteeseensa, he ohjaavat sen haavoittuville palvelimille.
Kun he lähettävät pyyntöjä haavoittuvaiselle palvelimelle, se vastaa vastauksella. Se on tärkeää, koska "vastaus" sisältää usein suuremman tietomäärän kuin alkuperäinen pyyntö. Hakkerit huijaavat sitten haavoittuvan palvelimen lähettämään vastauksen aiotulle kohteelle – toisin sanoen he saavat vaikutelman siltä, että pyyntö olisi peräisin sivustolta, jonka hakkeri haluaa kaataa. Näin pieni määrä liikennettä vahvistuu valtavaksi liikennemääräksi, mikä tekee DDOS-hyökkäyksestä tehokkaamman.
Netscoutin mukaan hakkerit ovat kääntyneet kytkemään Plex Media -palvelimia tähän prosessiin. Oletusarvoisesti, kun määrität Plex Media Serverin, se käyttää GDM (G’Day Mate) -protokollaa löytääkseen verkosta muita Plexin kanssa yhteensopivia laitteita.
Jos se havaitsee tarkistuksen aikana, että reitittimessäsi on UPNP (Universal Plug and Play) ja SDDP (Service Discovery Protocol), se määrittää reitittimesi automaattisesti etäkäyttöä varten. Se on mukavuustekijä, jonka avulla voit katsella Plex-sisältöäsi myös ollessasi poissa kotoa.
Mutta valitettavasti tämä mukavuus kaksinkertaistuu haavoittuvuutena – se tekee Plex-palvelimista ennustettavan kohteen DDOS-hyökkäykselle. Hakkeri lähettää pienen pyynnön (noin 52 tavua) palvelimellesi luodun Plex-portin kautta. Palvelin vastaa noin 281 tavun datapaketilla, joka on lähes viisi niin suuri kuin aloitushyökkäys.
Netscoutin mukaan se löysi todisteita siitä, että hakkerit ovat jo käyttäneet haavoittuvuutta hyväkseen ja ovat käyttäneet sitä marraskuusta lähtien. Kun turvayritys skannaa Internetiä, se löysi yli 27 000 Plex Media -palvelinta, jotka ovat avoinna hyökkäyksille.
Otimme yhteyttä Plexiin kommentoidaksemme, mutta emme ole vielä kuulleet. Plexin foorumeilla työntekijä vastasi viestiketjuun, jossa ehdotettiin portin oletusasetusten muuttamista hyökkäyksen lieventämiseksi:
Olemme tietoisia raporteista ja tutkimme niitä tarkemmin. Me emme olleet tietoisia tästä etukäteen, joten meillä ei ole tällä hetkellä enempää tietoa kuin teillä muilla. Porttien vaihtaminen saattaa olla lievennys – mutta se on varmasti epäselvyyden aiheuttamaa turvallisuutta. Päivitämme foorumeita, kun tiedämme enemmän.
Työntekijän mukaan Netscout ei paljastanut tietoja Plexille riittävästi ennen raportin julkaisemista. Ja oletusportin muuttaminen saattaa lieventää ongelmaa, mutta hakkerit voivat todennäköisesti mukauttaa hyökkäystään vastaamaan tätä toimintaa. Tällä hetkellä ainoa toimiva ratkaisu on poistaa SDDP käytöstä reitittimestäsi ja etätoisto Plex-palvelimeltasi. Mutta menetät prosessissa yhden Plexin parhaista ominaisuuksista.
Päivitämme tämän viestin, jos kuulemme Plexiltä pysyvästä korjauksesta, joka ylläpitää etätoistoominaisuuksia.