Злоумышленники используют в атаках медиасерверы на базе Plex.
https://www.securitylab.ru/upload/ib...deaf843b58.jpg
Операторы сервисов заказных DDoS-атак нашли новый способ усиления «мусорного» трафика и увеличения мощности атак. Согласно предупреждению специалистов компании Netscout, специализирующейся на вопросах сетевой безопасности, киберпреступники используют для этих целей устройства, работающие на базе ПО Plex Media Server - web-приложения для управления медиаконтентом и его потоковой трансляции.
Приложение может быть установлено на обычные web-серверы или поставляться в составе NAS (сетевое хранилище) систем, цифровых медиаплееров либо других устройств потоковой трансляции.
По словам специалистов, когда сервер или устройство на базе Plex Media Server подключается к сети, он начинает поиск совместимых устройств, используя протокол Simple Service Discovery Protocol (SSDP). Проблема заключается в том, что при нахождении такого устройства Plex Media Server добавляет правило перенаправления NAT в маршрутизатор, тем самым делая видимым сервис Plex Media SSDP (PMSSDP) в интернете (UDP-порт 32414).
Злоумышленники сканируют Сеть на предмет активных UDP-портов 32414, а затем используют их для усиления трафика, направленного на атакуемые цели. При этом пакеты могут иметь размер от 52 байтов до 281 байта, что в 4,86 раза превышает размер исходных данных.
По данным экспертов, в Сети насчитывается более 27 тыс. уязвимых серверов Plex Media, которые могут быть задействованы для осуществления DDoS-атак, более того, некоторые из этих серверов уже эксплуатируются злоумышленниками.
По словам представителей Plex, в настоящее время компания работает над добавляющим дополнительный уровень защиты патчем, который планируется к выпуску в скором времени.