[Update: Patched] Hacker verwandeln Ihren Plex-Server möglicherweise in ein mächtiges DDOS-Botnet
Wenn Ihnen die Idee gefällt, aus den vielen herumliegenden DVDs und CDs Ihr eigenes „Netflix“ oder „Spotify“ zu erstellen, ist Plex eine der besten und schönsten Optionen, die Sie wählen können Plex Media Server ist möglicherweise bereits ein Werkzeug für den nächsten mächtigen DDOS-Angriff.
Update: Kurz nach der Veröffentlichung gab Plex-Sprecherin Carm Lyman diese Erklärung ab:
Die Forscher, die über dieses Problem berichteten, haben keine vorherige Offenlegung bereitgestellt, aber Plex ist sich des Problems jetzt bewusst und arbeitet aktiv daran, es anzugehen. Dieses Problem scheint auf eine kleine Anzahl von Besitzern von Medienservern beschränkt zu sein, die ihre Firewalls falsch konfiguriert haben, indem sie UDP-Verkehr auf Geräteerkennungsports aus dem öffentlichen Internet zulassen, um ihre Server zu erreichen, und nach unserem derzeitigen Verständnis erlaubt dies einem Angreifer dies nicht die Gerätesicherheit oder den Datenschutz eines Plex-Benutzers gefährden. Plex testet einen einfachen Patch, der eine zusätzliche Schutzebene für Server hinzufügt, die möglicherweise versehentlich offengelegt wurden, und wird ihn in Kürze veröffentlichen.
Wir werden diesen Artikel aktualisieren, sobald der Patch verfügbar ist.
Zweites Update: Der Patch ist jetzt verfügbar. Plex fügte den folgenden Hinweis zum Fix hinzu:
„(Sicherheit) Schützen Sie sich vor potenzieller DDoS-Verstärkung, indem Sie nur auf UDP-Anfragen aus dem LAN antworten.“
Ein DDOS-Angriff (Distributed Denial of Service) funktioniert, indem eine Website oder ein Dienst mit Datenverkehr überflutet wird. Der überwältigende Anstieg kann einen Dienst zum Erliegen bringen, der nicht auf die Verkehrswelle vorbereitet ist. Einer der Hauptgründe, warum DDOS-Angriffe nicht häufiger sind, als sie es bereits sind, ist, dass Angreifer die Ressourcen benötigen, um all diesen Datenverkehr zu senden.
Hier kommen Plex Media Server ins Spiel. Hacker verwenden anfällige Plex Media Server, um einen ansonsten schwachen DDOS-Angriff zu einem mächtigen DDOS-Angriff zu verstärken. Die Idee ist nicht neu: Anstatt die geringe Menge an Datenverkehr, die Angreifer selbst verwalten können, direkt an ihr endgültiges Ziel zu senden, leiten sie ihn zu anfälligen Servern.
Wenn sie Anfragen an den anfälligen Server senden, antwortet dieser mit einer Antwort. Das ist wichtig, weil die „Antwort“ oft eine größere Datenmenge umfasst als die ursprüngliche Anfrage. Hacker bringen dann den anfälligen Server dazu, diese Antwort an das beabsichtigte Ziel zu senden – das heißt, sie erwecken den Anschein, als stamme die Anfrage von der Website, die der Hacker herunterfahren möchte. Auf diese Weise wird eine kleine Menge an Datenverkehr zu einer großen Menge an Datenverkehr verstärkt, wodurch der DDOS-Angriff stärker wird.
Laut Netscout haben sich Hacker dafür entschieden, Plex Media-Server in diesen Prozess einzuschleifen. Wenn Sie einen Plex Media Server einrichten, verwendet er standardmäßig das GDM-Protokoll (G’Day Mate), um andere Geräte in Ihrem Netzwerk zu erkennen, die mit Plex kompatibel sind.
Wenn während dieses Scans festgestellt wird, dass Ihr Router über UPNP (Universal Plug and Play) und SDDP (Service Discovery Protocol) verfügt, wird Ihr Router automatisch für den Fernzugriff konfiguriert. Das ist ein Komfortfaktor, mit dem Sie Ihre Plex-Inhalte auch dann ansehen können, wenn Sie nicht zu Hause sind.
Aber leider ist diese Bequemlichkeit auch eine Schwachstelle – sie macht Plex-Server zu einem vorhersehbaren Ziel für den DDOS-Angriff. Der Hacker sendet eine kleine Anfrage (ca. 52 Byte) über den von Plex erstellten Port an Ihren Server. Der Server antwortet mit einem Datenpaket von rund 281 Byte, fast fünfmal so groß wie der ursprüngliche Angriff.
Laut Netscout wurden Hinweise darauf gefunden, dass Hacker die Schwachstelle bereits ausgenutzt haben und dies seit November tun. Als die Sicherheitsfirma das Internet scannte, fand sie über 27.000 Plex Media Server, die für Angriffe offen waren.
Wir haben Plex um einen Kommentar gebeten, aber noch keine Antwort erhalten. Drüben in den Plex-Foren hat ein Mitarbeiter auf einen Thread geantwortet, in dem er vorschlug, die Standardporteinstellungen zu ändern, um den Angriff abzuschwächen:
Uns sind die Berichte bekannt und wir gehen dem näher nach. Wir wurden nicht im Voraus darauf aufmerksam gemacht, daher haben wir im Moment nicht mehr Informationen als der Rest von Ihnen. Das Ändern von Ports könnte eine Milderung sein – aber es ist sicherlich Sicherheit durch Unklarheit. Wir werden die Foren aktualisieren, wenn wir mehr wissen.
Laut dem Mitarbeiter hat Netscout die Informationen vor der Veröffentlichung des Berichts nicht angemessen an Plex weitergegeben. Und das Ändern Ihres Standardports könnte das Problem entschärfen, aber Hacker könnten ihren Angriff wahrscheinlich anpassen, um diese Aktion zu berücksichtigen. Im Moment besteht die einzig praktikable Lösung darin, SDDP auf Ihrem Router zu deaktivieren und auf Ihrem Plex Server remote zu spielen. Aber Sie werden dabei eine der besten Funktionen von Plex verlieren.
Wir werden diesen Beitrag aktualisieren, wenn wir von Plex eine Rückmeldung zu einem dauerhaften Fix erhalten, der Remote-Play-Funktionen beibehält.