[Оновлення: виправлено] Хакери можуть перетворити ваш сервер Plex на потужний ботнет DDOS
Якщо вам подобається ідея створити свій власний «Netflix» або «Spotify» з численних дисків DVD і компакт-дисків, які у вас є, Plex є одним із найкращих і найкрасивіших варіантів, які ви можете вибрати. Але, як виявила фірма безпеки Netscout, ваша Plex Media Server вже може бути інструментом наступної потужної атаки DDOS.
Оновлення: невдовзі після публікації речник Plex Карм Лайман дала таку заяву:
Дослідники, які повідомляли про цю проблему, не надали жодної попередньої інформації, але Plex тепер знає про проблему і активно працює над її вирішенням. Здається, ця проблема обмежена невеликою кількістю власників медіа-серверів, які неправильно налаштували свої брандмауери, дозволяючи UDP-трафіку через порти виявлення пристроїв із загальнодоступного Інтернету досягати своїх серверів, і ми зараз розуміємо, що це не дозволяє зловмисникові ставить під загрозу безпеку або конфіденційність пристрою користувача Plex. Plex тестує простий патч, який додає додатковий рівень захисту для серверів, які, можливо, були випадково відкриті, і незабаром випустить його.
Ми оновимо цю статтю, щойно патч стане доступним.
Друге оновлення: патч тепер доступний. Plex включив таку примітку про виправлення:
«(Безпека) Пом’якшіть потенційне посилення DDoS, відповідаючи лише на запити UDP з локальної мережі».
Атака з розподіленою відмовою в обслуговуванні (DDOS) працює шляхом заповнення сайту або служби трафіком. Переважний сплеск може вивести з ладу службу, не готову впоратися з хвилею трафіку. Одна з головних причин, чому DDOS-атаки не є більш поширеними, ніж вони є, полягає в тому, що поганим акторам потрібні ресурси для відправки всього цього трафіку.
Ось де в гру вступають Plex Media Servers. Хакери використовують уразливі медіа-сервери Plex для посилення того, що інакше було б слабкою DDOS-атакою, у потужну DDOS-атаку. Ідея не нова: замість того, щоб надсилати невелику кількість трафіку, з яким погані суб’єкти можуть впоратися самостійно, безпосередньо до кінцевої мети, вони спрямовують його на вразливі сервери.
Коли вони надсилають запити на вразливий сервер, він відповідає відповіддю. Це важливо, оскільки «відповідь» часто містить більшу кількість даних, ніж початковий запит. Потім хакери обманом обманюють уразливий сервер, щоб він надіслав цю відповідь передбачуваній цілі, тобто створюють враження, ніби запит надходить із сайту, який хакер хоче збити. Таким чином, невелика кількість трафіку перетворюється на величезну, що робить DDOS-атаку більш потужною.
За словами Netscout, хакери зациклили сервери Plex Media для цього процесу. За замовчуванням, коли ви налаштовуєте Plex Media Server, він використовує протокол GDM (G’Day Mate) для виявлення інших пристроїв у вашій мережі, сумісні з Plex.
Під час цього сканування, якщо він виявить, що ваш маршрутизатор має UPNP (Universal Plug and Play) і SDDP (Service Discovery Protocol), він автоматично налаштує ваш маршрутизатор для віддаленого доступу. Це фактор зручності, який дозволить вам дивитися вміст Plex, навіть коли ви не вдома.
Але, на жаль, ця зручність також є вразливістю — вона робить сервери Plex передбачуваною метою для DDOS-атаки. Хакер надсилає невеликий запит (близько 52 байт) через створений Plex порт на ваш сервер. Сервер відповідає пакетом даних близько 281 байт, що майже на п’ять більше, ніж початкова атака.
За даними Netscout, він виявив докази того, що хакери вже скористалися вразливістю і були з листопада. Коли охоронна фірма просканувала Інтернет, вона виявила, що понад 27 000 серверів Plex Media відкриті для атаки.
Ми зв’язалися з Plex за коментарем, але ще не отримали відповіді. На форумах Plex співробітник відповів на ланцюжок, пропонуючи змінити налаштування порту за замовчуванням, щоб пом’якшити атаку:
Нам відомі повідомлення та детальніше їх розслідуємо. Ми не повідомили про це заздалегідь, тому зараз у нас немає більше інформації, ніж у вас. Зміна портів може бути пом’якшенням, але це, безумовно, безпека через неясність. Ми будемо оновлювати форуми, коли дізнаємося більше.
За словами співробітника, Netscout не розкрив цю інформацію Plex перед публікацією звіту. І зміна вашого порту за замовчуванням може пом’якшити проблему, але хакери, ймовірно, можуть адаптувати свою атаку, щоб врахувати цю дію. Наразі єдиним життєздатним рішенням є вимкнення SDDP на вашому маршрутизаторі та віддаленого відтворення на вашому Plex Server. Але в цьому процесі ви втратите одну з найкращих функцій Plex.
Ми оновимо цю публікацію, якщо ми отримаємо відповідь від Plex про постійне виправлення, яке підтримує функції віддаленого відтворення.