[Uppdatering: Patchad] Hackare kanske förvandlar din Plex-server till ett kraftfullt DDOS-botnät
Om du gillar idén att skapa din egen "Netflix" eller "Spotify" från de många DVD- och CD-skivor du har liggande, är Plex ett av de bästa och vackraste alternativen du kan välja. Men, som säkerhetsföretaget Netscout avslöjade, din Plex Media Server kan redan vara ett verktyg i nästa kraftfulla DDOS-attack.
Uppdatering: Kort efter publiceringen gav Plex talesperson Carm Lyman detta uttalande:
Forskarna som rapporterade om denna fråga lämnade inget tidigare avslöjande, men Plex är nu medveten om problemet och arbetar aktivt med att ta itu med det. Det här problemet verkar vara begränsat till ett litet antal mediaserverägare som har felkonfigurerat sina brandväggar genom att tillåta UDP-trafik på enhetsupptäcktsportar från det offentliga internet att nå sina servrar, och vår nuvarande uppfattning är att det inte tillåter en angripare att äventyra alla Plex-användares enhetssäkerhet eller integritet. Plex testar en enkel patch som lägger till ett extra lager av skydd för de servrar som kan ha blivit utsatta av misstag och kommer att släppa den inom kort.
Vi kommer att uppdatera den här artikeln så snart patchen är tillgänglig.
Andra uppdateringen: patchen är nu tillgänglig. Plex inkluderade följande anteckning om fixen:
"(Säkerhet) Minska mot potentiell DDoS-förstärkning genom att bara svara på UDP-förfrågningar från LAN."
En DDOS-attack (Distributed Denial of Service) fungerar genom att en webbplats eller tjänst översvämmas med trafik. Den överväldigande ökningen kan få ner en tjänst som är oförberedd att hantera vågen av trafik. En av huvudorsakerna till att DDOS-attacker inte är vanligare än de redan är är att dåliga aktörer behöver resurserna för att skicka all den trafiken.
Det är där Plex Media Servers kommer in i bilden. Hackare använder sårbara Plex Media Servers för att förstärka vad som annars skulle vara en svag DDOS-attack till en kraftfull DDOS-attack. Idén är inte ny: istället för att skicka den lilla mängd trafik som dåliga aktörer kan hantera på egen hand direkt till sitt slutliga mål, riktar de den till sårbara servrar.
När de skickar förfrågningar till den sårbara servern kommer den att svara med ett svar. Det är viktigt eftersom "svaret" ofta uppgår till en större mängd data än den ursprungliga begäran. Hackare lurar sedan den sårbara servern att skicka det svaret till det avsedda målet – det vill säga de får det att verka som om begäran härrörde från webbplatsen som hackaren vill ta ner. Således förstärks en liten mängd trafik till en enorm mängd trafik, vilket gör DDOS-attacken mer kraftfull.
Enligt Netscout har hackare vänt sig till att koppla Plex Media-servrar in i denna process. Som standard, när du ställer in en Plex Media Server, använder den GDM (G’Day Mate)-protokollet för att upptäcka andra enheter på ditt nätverk som är kompatibla med Plex.
Under den genomsökningen, om den upptäcker att din router har UPNP (Universal Plug and Play) och SDDP (Service Discovery Protocol), kommer den automatiskt att konfigurera din router för fjärråtkomst. Det är en bekvämlighetsfaktor som låter dig titta på ditt Plex-innehåll även när du är borta från hemmet.
Men tyvärr fungerar den bekvämligheten som en sårbarhet – det gör Plex-servrar till ett förutsägbart mål för DDOS-attacken. Hackaren skickar en liten begäran (cirka 52 byte) över porten Plex som skapats till din server. Servern svarar med ett datapaket på cirka 281 byte, nästan fem så stort som den ursprungliga attacken.
Enligt Netscout upptäckte man bevis på att hackare redan utnyttjade sårbarheten och har gjort det sedan november. När säkerhetsföretaget skannade internet hittade det över 27 000 Plex Media Servers öppna för attack.
Vi kontaktade Plex för kommentarer men har inte hört av sig ännu. På Plexs forum svarade en anställd på en tråd som föreslog att man skulle ändra standardportinställningarna för att mildra attacken:
Vi är medvetna om rapporterna och undersöker det närmare. Vi har inte blivit medvetna om detta i förväg så vi har inte mer information än er andra just nu. Att byta portar kan vara en begränsning – men det är verkligen säkerhet genom dunkelhet. Vi kommer att uppdatera forumen när vi vet mer.
Enligt den anställde lämnade Netscout inte informationen till Plex på ett adekvat sätt innan rapporten publicerades. Och att ändra din standardport kan mildra problemet, men hackare kan troligen anpassa sin attack för att ta hänsyn till den åtgärden. Just nu är den enda genomförbara lösningen att inaktivera SDDP på din router och fjärrspel på din Plex Server. Men du kommer att förlora en av Plex bästa funktioner i processen.
Vi kommer att uppdatera det här inlägget om vi hör tillbaka från Plex om en permanent fix som upprätthåller funktioner för fjärrspel.