Plex es una de las mejores y más hermosas opciones que puede elegir si le gusta la idea de crear su propio «Netflix» o «Spotify» a partir de los muchos DVD y CD que tiene. Pero su Plex Media Server ya puede ser una herramienta en el próximo poderoso ataque DDOS, como ha revelado la firma de seguridad Netscout. Los investigadores que informaron sobre este problema no proporcionaron ninguna divulgación previa, pero Plex ahora es consciente del problema y está trabajando activamente para solucionarlo.
Este problema parece estar limitado a una pequeña cantidad de propietarios de servidores de medios que han configurado incorrectamente sus firewalls al permitir que el tráfico UDP llegue a sus servidores en los puertos de descubrimiento de dispositivos de la Internet pública, y nuestro entendimiento actual es que no permite que un atacante comprometer la seguridad o privacidad del dispositivo de cualquier usuario de Plex. Para aquellos servidores que pueden haber sido expuestos accidentalmente, Plex está probando un parche simple que agrega una capa adicional de protección y lo lanzará en breve.
Tan pronto como el parche esté disponible, actualizaremos este artículo. Al inundar un sitio o servicio con tráfico, funciona un ataque de denegación de servicio distribuido (DDOS).
Un servicio que no esté preparado para manejar la ola de tráfico puede verse afectado por el aumento abrumador. Una de las principales razones por las que los ataques DDOS no son más frecuentes de lo que son es que los malos actores necesitan las herramientas para enviar todo ese tráfico.
Ahí es donde entra en juego con Plex Media Servers. Para amplificar lo que de otro modo sería un ataque DDOS débil en un ataque DDOS poderoso, los piratas informáticos utilizan servidores de medios Plex vulnerables. La idea no es nueva: la dirigen a servidores vulnerables en lugar de enviar la pequeña cantidad de tráfico que los malos actores pueden administrar directamente a su objetivo final por sí mismos.
Responderá con una respuesta cuando envíen solicitudes al servidor vulnerable. Eso es esencial porque la «respuesta» a menudo equivale a una mayor cantidad de información que la solicitud inicial.
Luego, los piratas informáticos engañan al servidor vulnerable para que envíe esa respuesta al objetivo previsto, que es para que parezca que la solicitud se originó en el sitio web que el pirata informático quiere eliminar. Por lo tanto, una pequeña cantidad de tráfico se amplifica en una gran cantidad de tráfico, lo que hace que el ataque a DDOS sea más poderoso. Según Netscout, los piratas informáticos en este proceso han recurrido a los servidores de Plex Media en bucle.
De forma predeterminada, cuando configura un Plex Media Server, utiliza el protocolo GDM (G’Day Mate) para detectar otros dispositivos compatibles con Plex en su red. Si se encuentra que su enrutador tiene UPNP (Universal Plug and Play) y SDDP (Protocolo de descubrimiento de servicios) durante ese escaneo, configurará automáticamente su enrutador para acceso remoto.
Ese es un factor de conveniencia que incluso cuando esté fuera de casa le permitirá ver su contenido de Plex. Desafortunadamente, sin embargo, esa conveniencia se duplica como una vulnerabilidad, lo que convierte a los servidores Plex en un objetivo predecible de ataque DDOS. El hacker envía una pequeña solicitud (aproximadamente 52 bytes) a su servidor a través del puerto creado por Plex.
Con un paquete de datos de alrededor de 281 bytes, casi cinco del tamaño del ataque original, el servidor responde. Encontró evidencia, según Netscout, de que los piratas informáticos ya se habían aprovechado de la vulnerabilidad desde noviembre. Encontró más de 27,000 servidores de medios Plex abiertos al ataque cuando la empresa de seguridad escaneó Internet.
Para hacer comentarios, contactamos a Plex pero aún no hemos recibido respuesta. Un empleado respondió a un hilo en los foros de Plex sugiriendo cambiar la configuración del puerto predeterminado para mitigar el ataque: estamos al tanto de los informes y estamos más cerca de investigarlos. No nos informaron de esto con anticipación, por lo que ahora mismo no tenemos más datos que el resto de ustedes.
Cambiar de puerto puede ser una mitigación, pero por oscuridad, ciertamente es seguridad. Cuando sepamos más, actualizaremos los foros. Netscout no reveló adecuadamente la información a Plex antes de publicar el informe, según el empleado.
Y el problema podría mitigarse cambiando su puerto predeterminado, pero los piratas informáticos probablemente podrían adaptar su ataque para dar cuenta de esa acción. En este momento, deshabilitar SDDP en su enrutador y la reproducción remota en su servidor Plex es la única solución viable. Pero en el proceso, perderá una de las mejores características de Plex.
Si recibimos noticias de Plex sobre una solución permanente que mantiene las características del juego remoto, actualizaremos esta publicación. Fuente: Via ZDNet Netscout.