Aanvallers misbruiken Plex-servers voor DDoS-aanvallen

Abonneer je gratis op Techzine!

Kwaadwillenden hebben een manier gevonden om slecht beveiligde Plex-servers in te zetten voor het versterken van een DDoS-aanval. Plex is op de hoogte van het probleem en kijkt naar mogelijke oplossingen.

De aanvallers gebruiken de Plex-servers voor een fenomeen wat DDoS amplification wordt genoemd. In plaats van een server direct te bestoken met DDoS-verkeer, sturen de aanvallers een deel van het verkeer naar slecht beveiligde Plex-servers en laat de servers denken dat een andere server een verzoek doet. De Plex-server stuurt vervolgens wat gegevens terug naar de server waar het verzoek vandaan lijkt te komen. In de praktijk komt dit verzoek van de aanvaller, die doet alsof het een andere service is en wordt het daadwerkelijke doelwit zwaarder belast.

Op zichzelf is de hoeveelheid gegevens die de Plex-servers terugsturen niet bijster groot: tussen de 52 en 281 bytes. Dit is echter grofweg een factor 5 meer dan het pakketje dat naar de Plex-server gestuurd wordt. Combineer dit met de 27.000 slecht beveiligde Plex-servers die DDoS-beschermservice Netscout heeft gevonden, is dit een goede manier om een DDoS-aanval krachtiger te maken.

Plex werkt aan een patch

Plex is op de hoogte van het probleem. Het bedrijf vertelt tegen Ars Technica dat het bedrijf van te voren niet was ingelicht van het probleem, maar dat het nu actief werkt aan een oplossing van het probleem. Het bedrijf wijst voornamelijk naar gebruikers die hun firewall niet goed hebben ingesteld, maar denkt dat het probleem geen privacyproblemen voor eindgebruikers oplevert. Het bedrijf belooft binnenkort een patch uit te brengen die voor extra beveiliging moet zorgen.

Poort 32414

Het firewallprobleem waar Plex op doelt is het openzetten van UDP-poort 32414. Plex gebruikt deze poort voor zijn protocol om automatisch Plex-apparaten in een netwerk te ontdekken. Om een Plex-server via het internet te laten werken, hoeft echter enkel TCP-poort 32400 geopend te worden. Gebruikers worden geadviseerd om in hun routerinstellingen te controleren of poort 32414 openstaat en indien dat het geval is, die poort te sluiten. Ook luidt het advies om UPnP uit te schakelen.

Privé-Netflix

Plex is een dienst waarmee gebruikers hun eigen netwerkbibliotheek met bijvoorbeeld films, series en muziek eenvoudig naar andere apparaten kunnen streamen. Het kan draaien op computers, maar ook op de meeste nas-systemen. De Plex-app is voor de meeste tv-systemen beschikbaar, waarmee de service kan dienen als een soort privé-Netflix.

Remote Desktop

Plex is niet de enige DDoS-versterker waar Netscout onlangs op gestuit is. In januari maakte de DDoS-beschermer bekend dat het Microsoft Remote Desktop Protocol ook gebruikt kan worden om DDoS-aanvallen te versterken. Ook daarbij is het advies om kwetsbare poorten op de router te sluiten.

Tip: Nederlandse coalitie wil met website DDoS-aanvallen voorkomen