Los analistas de NetScout advirtieron que los piratas informáticos han encontrado una forma de utilizar sistemas con Plex Media Server instalado para amplificar los ataques DDoS. El problema es que no solo se puede instalar la aplicación en un servidor web normal, sino que a menudo viene con dispositivos NAS, reproductores multimedia u otros dispositivos de IoT.
Según los expertos, la cuestión es que cuando un servidor o dispositivo que ejecuta Plex Media Server arranca y se conecta a la red, se lanza un escaneo local para buscar dispositivos compatibles y para ello se utiliza el protocolo SSDP. Y si Plex Media Server detecta un enrutador local con SSDP habilitado, agrega una regla NAT especial para hacer que el servicio Plex Media SSDP (PMSSDP) esté disponible en Internet (puerto UDP 32414).
Por desgracia, SSDP se conoce desde hace mucho tiempo como un vector de elección para los ciberdelincuentes para amplificar el poder de los ataques DDoS, lo que significa que los dispositivos con Plex Media Server instalado son un objetivo interesante para los ciberdelincuentes. Según Netscout, el factor de amplificación de DDoS en este caso es de aproximadamente 4,68, lo que significa que Plex Media Server amplifica los paquetes PMSSDP entrantes de 52 bytes a aproximadamente 281 bytes.
Los investigadores advierten que han encontrado más de 27.000 dispositivos en la red con Plex Media Server que se pueden utilizar para ataques DDoS. Peor aún, los piratas informáticos ya conocen este método de amplificación y los expertos de Netscout escriben que no solo han observado este tipo de ataques, sino que ya se están convirtiendo en algo común. Los ataques PMSSDP suelen alcanzar una potencia máxima de 2-3 Gbps, pero según los expertos, este no es el límite.
"El número total de ataques [utilizando PMSSDP] desde el 1 de enero de 2020 hasta la fecha es de aproximadamente 5.700 (de un total de 11.000.000 de ataques que vimos durante este período)", dijo Netscout en una entrevista con Bleeping Computer . "Notamos el uso de este método en noviembre de 2020, cuando la actividad aumentó drásticamente, pero en la mayoría de los casos vemos que se usa en ataques multivectoriales y no como vector principal".
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios