分散式阻断服务(DDoS)攻击者获得可向特定目标(使用 Plex Media Server 串流媒体伺服器的端点使用者或网路)发送大量垃圾流量,进而造成受害目标服务中断的全新攻击管道。
DDoS 放大(DDoS Amplification)攻击是利用中介资源来提高攻击火力的技术。参与攻击的殭尸电脑首先会以请求某服务的形式来向第三方发送资料,而不是直接对被锁定的目标伺服器发送资料。第三方接着会以更大的封包负载来回应攻击者想要攻下的网站。
所谓的放大攻击是透过向第三方发送请求得以发挥作用,且这些请求会经过操纵,看起来像是目标伺服器发出。当第三方回应时,回覆资料会发送给目标伺服器,而不是发送给发请求的攻击者装置。过去最强大的放大工具之一是 memcached 资料库快取系统,可将封包负载放大 51,000 倍。市面其他放大攻击工具还包括配置错误的 DNS 伺服器和网路时间协定(Network Time Protocol,NTP)。
约 27,000 台伺服器成为骇客发动放大攻击的滥用资源
DDoS 缓解服务供应商 Netscout 4 日表示,网路 DDoS 出租(DDoS-for-Hire)服务最近转而锁定安全组态设定不当的 Plex Media Server,以提升攻击火力。Plex Media Server 是款软体,让人们透过其他相容装置存取储存在单一装置的音乐、照片和影片。软体同时支援 Windows、macOS 和 Linux 等不同环境运行。
在某些情况下(例如伺服器透过「SSDP 简单服务发现协定」而在终点使用者的宽频数据机找到通用随插插即用闸道器时),Plex 服务注册回应器就会曝露在通用网际网路。回应範围将从 52 位元组扩大至 281 位元组,平均可放大 5 倍。
Netscout 表示,已确认网路约有 27,000 台伺服器能以这种方式遭滥用。为了与纯通用 SSDP 协定 DDoS 放大攻击区别,将新攻击手法称为 Plex Media SSDP 或 PMSSDP。
「PMSSDP 反射攻击(Reflection Attack)/放大攻击的间接影响对旗下客户无意间将 PMSSDP 反射器/放大器暴露至网际网路的宽频连网服务供应商来说有潜在严重性。」Netscout 研究人员 Roland Dobbins 和 Steinthor Bjarnason 写道。「这可能包括部分或整个终端顾客宽频连网服务的中断,以及由于存取/分发/聚合/核心/对等/传输链路容量的消耗导致其他服务中断。」
Plex 发言人声明表示:
Plex 正在测试简易的修补程式,特别为可能意外暴露的伺服器新增额外保护层,修补程式会很快发布。
研究人员指出,网路营运商(而非终端使用者)经由连接埠 32414 对 UDP 数据大规模过滤,有可能导致某些合法封包遭封锁。研究人员说,取而代之的做法是,营运商(同样的,不是终端使用者)应该在网路辨识被滥用为 DDoS 反射器或放大器的 PMSSDP 节点。研究人员并建议 ISP 提供订户的装置预设关闭 SSDP。
- DDoSers are abusing the Plex Media Server to make attacks more potent
