[Atualização: Patched] Hackers podem estar transformando seu servidor Plex em um poderoso botnet DDOS
Se você gosta da ideia de criar seu próprio “Netflix" ou “Spotify” a partir dos muitos DVDs e CDs que você tem, o Plex é uma das melhores e mais bonitas opções que você pode escolher. Mas, como revelou a empresa de segurança Netscout, seu O Plex Media Server pode já ser uma ferramenta no próximo ataque DDOS poderoso.
Atualização: logo após a publicação, a porta-voz do Plex, Carm Lyman, deu esta declaração:
Os pesquisadores que relataram esse problema não forneceram nenhuma divulgação prévia, mas o Plex agora está ciente do problema e está trabalhando ativamente para resolvê-lo. Esse problema parece estar limitado a um pequeno número de proprietários de servidores de mídia que configuraram incorretamente seus firewalls, permitindo que o tráfego UDP nas portas de descoberta de dispositivos da Internet pública alcance seus servidores, e nosso entendimento atual é que isso não permite que um invasor comprometer a segurança ou privacidade do dispositivo de qualquer usuário do Plex. O Plex está testando um patch simples que adiciona uma camada extra de proteção para os servidores que podem ter sido acidentalmente expostos e o lançarão em breve.
Atualizaremos este artigo assim que o patch estiver disponível.
Segunda atualização: o patch já está disponível. O Plex incluiu a seguinte nota sobre a correção:
“(Segurança) Reduza a potencial amplificação de DDoS respondendo apenas a solicitações UDP da LAN.”
Um ataque de negação de serviço distribuído (DDOS) funciona inundando um site ou serviço com tráfego. A onda avassaladora pode derrubar um serviço despreparado para lidar com a onda de tráfego. Uma das principais razões pelas quais os ataques DDOS não são mais comuns do que já são é que os maus atores precisam dos recursos para enviar todo esse tráfego.
É aí que os Plex Media Servers entram em ação. Os hackers estão usando Plex Media Servers vulneráveis para amplificar o que seria um ataque DDOS fraco em um ataque DDOS poderoso. A ideia não é nova: em vez de enviar a pequena quantidade de tráfego que os malfeitores podem gerenciar por conta própria diretamente em seu destino final, eles o direcionam para servidores vulneráveis.
Quando eles enviam solicitações para o servidor vulnerável, ele responde com uma resposta. Isso é importante porque a “resposta” geralmente equivale a uma quantidade maior de dados do que a solicitação original. Os hackers então enganam o servidor vulnerável para enviar essa resposta ao alvo pretendido – ou seja, eles fazem parecer que a solicitação se originou do site que o hacker deseja derrubar. Assim, uma pequena quantidade de tráfego é amplificada em uma enorme quantidade de tráfego, tornando o ataque DDOS mais poderoso.
De acordo com a Netscout, os hackers se voltaram para os servidores Plex Media em loop nesse processo. Por padrão, quando você configura um Plex Media Server, ele usa o protocolo GDM (G’Day Mate) para descobrir outros dispositivos em sua rede compatíveis com o Plex.
Durante essa varredura, se ele descobrir que seu roteador tem UPNP (Universal Plug and Play) e SDDP (Service Discovery Protocol), ele configurará automaticamente seu roteador para acesso remoto. Esse é um fator de conveniência que permitirá que você assista ao conteúdo do Plex mesmo quando estiver longe de casa.
Mas, infelizmente, essa conveniência funciona como uma vulnerabilidade – torna os servidores Plex um alvo previsível para o ataque DDOS. O hacker envia uma pequena solicitação (cerca de 52 bytes) pela porta que o Plex criou para o seu servidor. O servidor responde com um pacote de dados de cerca de 281 bytes, quase cinco do tamanho do ataque originário.
De acordo com a Netscout, descobriu evidências de que hackers já se aproveitaram da vulnerabilidade e têm feito isso desde novembro. Quando a empresa de segurança escaneou a Internet, encontrou mais de 27.000 Plex Media Servers abertos para ataques.
Entramos em contato com a Plex para comentar, mas ainda não recebemos uma resposta. Nos fóruns do Plex, um funcionário respondeu a um tópico sugerindo alterar as configurações de porta padrão para mitigar o ataque:
Estamos cientes dos relatos e estamos investigando mais de perto. Nós não fomos informados disso com antecedência, então não temos mais informações do que o resto de vocês agora. A mudança de portas pode ser uma mitigação – mas certamente é segurança por obscuridade. Atualizaremos os fóruns quando soubermos mais.
De acordo com o funcionário, a Netscout não divulgou adequadamente as informações à Plex antes de publicar o relatório. E alterar sua porta padrão pode mitigar o problema, mas os hackers provavelmente podem adaptar seu ataque para explicar essa ação. No momento, a única solução viável é desabilitar o SDDP no seu roteador e jogar remotamente no seu Plex Server. Mas você perderá um dos melhores recursos do Plex no processo.
Atualizaremos esta postagem se recebermos uma resposta do Plex sobre uma correção permanente que mantém os recursos de reprodução remota.