Selon une nouvelle étude de Netscout, les services DDoS-for-location exploitent les failles de sécurité des systèmes Plex Media Server en tant que vecteur de réflexion / amplification UDP dans les attaques DDoS.
Pour ceux qui ne sont pas familiers, Plex Media Server est une bibliothèque multimédia personnelle et un système de streaming qui fonctionne sur une variété de systèmes d’exploitation, y compris Windows, MacOS et Linux. Il existe également des variantes personnalisées du système conçues pour les périphériques NAS, les unités de stockage RAID externes et les lecteurs multimédias numériques.
Au démarrage, Plex sonde le réseau local d’un utilisateur à l’aide du protocole de découverte de nouveaux services / services G’Day Mate (GDM) afin de localiser d’autres périphériques multimédias compatibles et des clients de streaming. Cependant, le logiciel utilise également des sondes SSDP pour localiser les passerelles UPnP sur les routeurs sur lesquels SSDP est activé. Lorsqu’une passerelle UPnP est découverte de cette manière, Plex tente d’utiliser NAT-PMP pour instancier des règles de transfert NAT dynamiques sur le routeur.
En cas de succès, cela expose un répondeur d’enregistrement de service Plex UPnP à Internet général où il peut être utilisé de manière abusive par des cybercriminels pour générer des attaques DDoS par réflexion / amplification.
Sommaire
Attaques DDoS par réflexion / amplification
Selon Netscout, le trafic d’attaque PMSSDP DDoS amplifié se compose de réponses SSDP HTTP / U provenant d’UDP / 32414 sur des routeurs vulnérables dirigés vers des cibles d’attaque avec chaque paquet de réponse amplifié allant de 52 à 281 octets.
Jusqu’à présent, la société a identifié 27 000 réflecteurs / amplificateurs PMSSDP abusables avec des attaques DDoS à réflexion / amplification PMSSDP à vecteur unique allant de 2 Gbps à 3 Gops. Cependant, les attaques multivectorielles et omni-vectorielles intégrant PMSSDP vont des faibles dizaines de Gbps à 218 Gbps.
Dans un article de blog, l’ingénieur principal Roland Dobbins et l’analyste senior en sécurité réseau Steinthor Bjarnason chez Netscout ont expliqué que même une attaque par réflexion / amplification PMSSDP à un vecteur peut être assez perturbatrice, en disant:
«Il convient de noter qu’une attaque de réflexion / amplification PMSSDP à vecteur unique d’environ 2 Gbps – ~ 3 Gbps est souvent suffisante pour avoir un impact négatif significatif sur la disponibilité des réseaux / serveurs / services ciblés. L’incidence des attaques par réflexion / amplification à vecteur unique et multi-/ omni-vecteur tirant parti du PMSSDP a considérablement augmenté depuis novembre 2020, indiquant son utilité perçue pour les attaquants. »
Pour se protéger contre ce type d’attaques DDoS, Netscout recommande aux opérateurs de réseau d’effectuer des reconnaissances pour identifier les réflecteurs / amplificateurs PMSSDP abusifs sur leurs réseaux et ceux de leurs clients. Dans le même temps, les organisations devraient utiliser une sorte de protection DDoS.
