提升 DDoS 攻擊火力新大補丸!知名 Plex 串流媒體伺服器成為駭客最愛

作者 | 發布日期 2021 年 02 月 13 日 11:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


分散式阻斷服務(DDoS)攻擊者獲得可向特定目標(使用 Plex Media Server 串流媒體伺服器的端點使用者或網路)發送大量垃圾流量,進而造成受害目標服務中斷的全新攻擊管道。

DDoS 放大(DDoS Amplification)攻擊是利用中介資源來提高攻擊火力的技術。參與攻擊的殭屍電腦首先會以請求某服務的形式來向第三方發送資料,而不是直接對被鎖定的目標伺服器發送資料。第三方接著會以更大的封包負載來回應攻擊者想要攻下的網站。

所謂的放大攻擊是透過向第三方發送請求得以發揮作用,且這些請求會經過操縱,看起來像是目標伺服器發出。當第三方回應時,回覆資料會發送給目標伺服器,而不是發送給發請求的攻擊者裝置。過去最強大的放大工具之一是 memcached 資料庫快取系統,可將封包負載放大 51,000 倍。市面其他放大攻擊工具還包括配置錯誤的 DNS 伺服器和網路時間協定(Network Time Protocol,NTP)。

約 27,000 台伺服器成為駭客發動放大攻擊的濫用資源

DDoS 緩解服務供應商 Netscout 4 日表示,網路 DDoS 出租(DDoS-for-Hire)服務最近轉而鎖定安全組態設定不當的 Plex Media Server,以提升攻擊火力。Plex Media Server 是款軟體,讓人們透過其他相容裝置存取儲存在單一裝置的音樂、照片和影片。軟體同時支援 Windows、macOS 和 Linux 等不同環境運行。

在某些情況下(例如伺服器透過「SSDP 簡單服務發現協定」而在終點使用者的寬頻數據機找到通用隨插插即用閘道器時),Plex 服務註冊回應器就會曝露在通用網際網路。回應範圍將從 52 位元組擴大至 281 位元組,平均可放大 5 倍。

Netscout 表示,已確認網路約有 27,000 台伺服器能以這種方式遭濫用。為了與純通用 SSDP 協定 DDoS 放大攻擊區別,將新攻擊手法稱為 Plex Media SSDP 或 PMSSDP。

「PMSSDP 反射攻擊(Reflection Attack)/放大攻擊的間接影響對旗下客戶無意間將 PMSSDP 反射器/放大器暴露至網際網路的寬頻連網服務供應商來說有潛在嚴重性。」Netscout 研究人員 Roland Dobbins 和 Steinthor Bjarnason 寫道。「這可能包括部分或整個終端顧客寬頻連網服務的中斷,以及由於存取/分發/聚合/核心/對等/傳輸鏈路容量的消耗導致其他服務中斷。」

Plex 發言人聲明表示:

Plex 正在測試簡易的修補程式,特別為可能意外暴露的伺服器新增額外保護層,修補程式會很快發布。

研究人員指出,網路營運商(而非終端使用者)經由連接埠 32414 對 UDP 數據大規模過濾,有可能導致某些合法封包遭封鎖。研究人員說,取而代之的做法是,營運商(同樣的,不是終端使用者)應該在網路辨識被濫用為 DDoS 反射器或放大器的 PMSSDP 節點。研究人員並建議 ISP 提供訂戶的裝置預設關閉 SSDP。

(首圖來源:plex