Un nuevo vector de ataque distribuido de denegación de servicio (DDoS) ha atrapado a los sistemas Plex Media Server para amplificar el tráfico malicioso contra los objetivos para desconectarlos.

«Los procesos de inicio de Plex exponen involuntariamente un respondedor de registro de servicio habilitado para Plex UPnP a Internet general, donde se puede abusar para generar ataques DDoS de reflexión/amplificación», dijeron los investigadores de Netscout en una alerta el jueves.

Plex Media Server es una biblioteca multimedia personal y un sistema de transmisión que se ejecuta en los sistemas operativos Windows, macOS y Linux modernos, así como en variantes personalizadas para plataformas de propósito especial, como dispositivos de almacenamiento conectado a la red (NAS) y reproductores de medios digitales. La aplicación de escritorio organiza video, audio y fotos de la biblioteca de un usuario y de los servicios en línea, lo que permite acceder y transmitir los contenidos a otros dispositivos compatibles.

Los ataques DDoS generalmente implican inundar un objetivo legítimo con tráfico de red no deseado que proviene de una gran cantidad de dispositivos que han sido acorralados en una red de bots, lo que provoca efectivamente el agotamiento del ancho de banda y provoca interrupciones significativas del servicio.

Un ataque de amplificación DDoS ocurre cuando un atacante envía una cantidad de solicitudes especialmente diseñadas a un servidor de terceros que hace que el servidor responda con grandes respuestas a una víctima. Esto se hace falsificando la dirección IP de origen para que aparezca como si fuera la víctima en lugar del atacante, lo que genera un tráfico que abruma los recursos de la víctima.

Por lo tanto, cuando los terceros responden a la solicitud del atacante, las respuestas se enrutan al servidor objetivo en lugar del dispositivo atacante que envió la solicitud.

Ahora, según Netscout, los servicios DDoS de alquiler están armando los servidores de medios Plex para reforzar su infraestructura de ataque, proporcionando un factor de amplificación promedio de aproximadamente 4,68.

Plex utiliza el Protocolo simple de detección de servicios (SSDP) para escanear otros dispositivos multimedia y clientes de transmisión, pero esto genera un problema cuando la sonda localiza un enrutador de acceso a Internet de banda ancha habilitado para SSDP y, en el proceso, expone el registro del servicio Plex. respondedor directamente en Internet en el puerto UDP 32414.

Para empeorar las cosas, la firma de seguridad cibernética dijo que identificó alrededor de 27,000 servidores abusables en Internet hasta la fecha.

«El impacto colateral de los ataques de reflexión/amplificación de PMSSDP es potencialmente significativo para los operadores de acceso a Internet de banda ancha cuyos clientes han expuesto inadvertidamente reflectores/amplificadores de PMSSDP a Internet», dijeron los investigadores de Netscout Roland Dobbins y Steinthor Bjarnason.

«Esto puede incluir la interrupción parcial o total del acceso a Internet de banda ancha del cliente final, así como la interrupción adicional del servicio debido al consumo de capacidad de acceso / distribución / agregación / núcleo / interconexión / enlace de tránsito».

Netscout recomienda a los operadores de red que filtren el tráfico dirigido a UDP/32414 y deshabiliten SSDP en los equipos de acceso a Internet de banda ancha proporcionados por el operador para mitigar el ataque.

El desarrollo se produce después de que Netscout, a principios de este mes, informara que los servidores de Windows Remote Desktop Protocol (RDP) están siendo abusados ​​por los servicios DDoS-for-hire como un vector DDoS de reflexión/amplificación.