分布式拒绝服务(DDoS)攻击者获得可向特定目标(使用Plex Media Server流媒体服务器的端点用户或网络)发送大量垃圾流量,进而造成受害目标服务中断的全新攻击渠道。
DDoS放大(DDoS Amplification)攻击是利用中介资源来提高攻击火力的技术。参与攻击的僵尸计算机首先会以请求某服务的形式来向第三方发送资料,而不是直接对被锁定的目标服务器发送资料。第三方接着会以更大的封包负载来回应攻击者想要攻下的网站。
所谓的放大攻击是通过向第三方发送请求得以发挥作用,且这些请求会经过操纵,看起来像是目标服务器发出。当第三方回应时,回复资料会发送给目标服务器,而不是发送给发请求的攻击者设备。过去最强大的放大工具之一是memcached数据库缓存系统,可将封包负载放大51,000倍。市面其他放大攻击工具还包括配置错误的DNS服务器和网络时间协议(Network Time Protocol,NTP)。
约27,000台服务器成为黑客发动放大攻击的滥用资源
DDoS缓解服务供应商Netscout 4日表示,网络DDoS出租(DDoS-for-Hire)服务最近转而锁定安全组态设置不当的Plex Media Server,以提升攻击火力。Plex Media Server是款软件,让人们通过其他兼容设备访问存储在单一设备的音乐、照片和视频。软件同时支持Windows、macOS和Linux等不同环境运行。
在某些情况下(例如服务器通过“SSDP简单服务发现协议”而在终点用户的宽带调制解调器找到通用随插插即用网关时),Plex服务注册回应器就会暴露在通用互联网。回应范围将从52字节扩大至281字节,平均可放大5倍。
Netscout表示,已确认网络约有27,000台服务器能以这种方式遭滥用。为了与纯通用SSDP协议DDoS放大攻击区别,将新攻击手法称为Plex Media SSDP或PMSSDP。
“PMSSDP反射攻击(Reflection Attack)/放大攻击的间接影响对旗下客户无意间将PMSSDP反射器/放大器暴露至互联网的宽带联网服务供应商来说有潜在严重性。”Netscout研究人员Roland Dobbins和Steinthor Bjarnason写道。 “这可能包括部分或整个终端顾客宽带联网服务的中断,以及由于访问/分发/聚合/核心/对等/传输链路容量的消耗导致其他服务中断。”
Plex发言人声明表示:
Plex正在测试简易的修补程序,特别为可能意外暴露的服务器添加额外保护层,修补程序会很快发布。
研究人员指出,网络运营商(而非最终用户)经由连接端口32414对UDP数据大规模过滤,有可能导致某些合法封包遭封锁。研究人员说,取而代之的做法是,运营商(同样的,不是最终用户)应该在网络识别被滥用为DDoS反射器或放大器的PMSSDP节点。研究人员并建议ISP提供用户的设备默认关闭SSDP。
(首图来源:plex)