[Mise à jour : corrigé] Les pirates pourraient transformer votre serveur Plex en un puissant botnet DDOS
Si vous aimez l’idée de créer votre propre "Netflix" ou "Spotify" à partir des nombreux DVD et CD que vous avez, Plex est l’une des meilleures et des plus belles options que vous puissiez choisir. Mais, comme l’a révélé la société de sécurité Netscout, votre Plex Media Server est peut -être déjà un outil de la prochaine puissante attaque DDOS.
Mise à jour : peu de temps après la publication, la porte-parole de Plex, Carm Lyman, a fait cette déclaration :
Les chercheurs qui ont signalé ce problème n’ont fourni aucune divulgation préalable, mais Plex est maintenant conscient du problème et travaille activement à le résoudre. Ce problème semble être limité à un petit nombre de propriétaires de serveurs multimédias qui ont mal configuré leurs pare-feu en autorisant le trafic UDP sur les ports de découverte de périphériques à partir de l’Internet public pour atteindre leurs serveurs, et notre compréhension actuelle est qu’il ne permet pas à un attaquant de compromettre la sécurité ou la confidentialité de l’appareil de tout utilisateur Plex. Plex teste un correctif simple qui ajoute une couche de protection supplémentaire pour les serveurs qui peuvent avoir été accidentellement exposés et le publiera sous peu.
Nous mettrons à jour cet article dès que le correctif sera disponible.
Deuxième mise à jour: le patch est maintenant disponible. Plex a inclus la note suivante concernant le correctif :
"(Sécurité) Atténuez l’amplification potentielle des attaques DDoS en ne répondant qu’aux requêtes UDP du LAN."
Une attaque par déni de service distribué (DDOS) fonctionne en inondant un site ou un service de trafic. La vague écrasante peut faire tomber un service non préparé à gérer la vague de trafic. L’une des principales raisons pour lesquelles les attaques DDOS ne sont pas plus courantes qu’elles ne le sont déjà est que les mauvais acteurs ont besoin de ressources pour envoyer tout ce trafic.
C’est là que les serveurs Plex Media entrent en jeu. Les pirates utilisent des serveurs multimédias Plex vulnérables pour amplifier ce qui serait autrement une attaque DDOS faible en une attaque DDOS puissante. L’idée n’est pas nouvelle: au lieu d’envoyer la petite quantité de trafic que les acteurs malveillants peuvent gérer eux-mêmes directement vers leur cible finale, ils le dirigent vers des serveurs vulnérables.
Lorsqu’ils envoient des requêtes au serveur vulnérable, celui-ci répond par une réponse. C’est important parce que la «réponse» équivaut souvent à une plus grande quantité de données que la demande initiale. Les pirates trompent ensuite le serveur vulnérable pour qu’il envoie cette réponse à la cible visée, c’est-à-dire qu’ils donnent l’impression que la requête provient du site que le pirate veut faire tomber. Ainsi, une petite quantité de trafic est amplifiée en une énorme quantité de trafic, ce qui rend l’attaque DDOS plus puissante.
Selon Netscout, les pirates se sont tournés vers les serveurs Plex Media en boucle dans ce processus. Par défaut, lorsque vous configurez un Plex Media Server, il utilise le protocole GDM (G’Day Mate) pour découvrir d’autres appareils sur votre réseau compatibles avec Plex.
Au cours de cette analyse, s’il découvre que votre routeur dispose de l’UPNP (Universal Plug and Play) et du SDDP (Service Discovery Protocol), il configurera automatiquement votre routeur pour l’accès à distance. C’est un facteur de commodité qui vous permettra de regarder votre contenu Plex même lorsque vous n’êtes pas chez vous.
Mais malheureusement, cette commodité se double d’une vulnérabilité – elle fait des serveurs Plex une cible prévisible pour l’attaque DDOS. Le pirate envoie une petite requête (environ 52 octets) sur le port Plex créé à votre serveur. Le serveur répond avec un paquet de données d’environ 281 octets, soit près de cinq de la taille de l’attaque d’origine.
Selon Netscout, il a découvert des preuves que les pirates ont déjà profité de la vulnérabilité et ce depuis novembre. Lorsque l’entreprise de sécurité a scanné Internet, elle a trouvé plus de 27 000 serveurs multimédia Plex ouverts aux attaques.
Nous avons contacté Plex pour un commentaire, mais nous n’avons pas encore reçu de réponse. Sur les forums de Plex, un employé a répondu à un fil suggérant de modifier les paramètres de port par défaut pour atténuer l’attaque :
Nous sommes au courant des rapports et l’étudions de plus près. Nous n’avons pas été mis au courant de cela à l’avance, nous n’avons donc pas plus d’informations que le reste d’entre vous pour le moment. Changer de port peut être une atténuation – mais c’est certainement une sécurité par l’obscurité. Nous mettrons à jour les forums lorsque nous en saurons plus.
Selon l’employé, Netscout n’a pas suffisamment divulgué les informations à Plex avant de publier le rapport. Et changer votre port par défaut pourrait atténuer le problème, mais les pirates pourraient probablement adapter leur attaque pour tenir compte de cette action. À l’heure actuelle, la seule solution viable consiste à désactiver le SDDP sur votre routeur et la lecture à distance sur votre serveur Plex. Mais vous perdrez l’une des meilleures fonctionnalités de Plex dans le processus.
Nous mettrons à jour ce message si nous entendons parler de Plex à propos d’un correctif permanent qui maintient les fonctionnalités de lecture à distance.