网络犯罪分子现在使用Plex媒体服务器来放大DDoS攻击

一种新的分布式拒绝服务攻击（DDoS）载体诱捕了Plex媒体服务器系统，以放大针对目标的恶意流量，使其离线。

Netscout的研究人员在周四的一份警报中表示：“Plex的启动过程无意中将一个支持Plex UPnP的服务注册响应程序暴露在普通互联网上，在那里它可能被滥用以产生反射/放大DDoS攻击。”。

Plex Media Server是一个个人媒体库和流媒体系统，运行在现代Windows、macOS和Linux操作系统上，以及为网络连接存储（NAS）设备和数字媒体播放器等专用平台定制的变体。桌面应用程序组织来自用户库和在线服务的视频、音频和照片，允许访问其他兼容设备，并将内容流式传输到其他兼容设备。

DDoS攻击通常涉及向合法目标注入大量垃圾网络流量，这些流量来自大量已被关进僵尸网络的设备，有效地导致带宽耗尽，并导致严重的服务中断。

当攻击者向第三方服务器发送大量精心编制的请求，导致服务器对受害者做出大量响应时，就会发生DDoS放大攻击。这是通过欺骗源IP地址，使其看起来像是受害者而不是攻击者，从而导致流量超过受害者资源。

因此，当第三方响应攻击者的请求时，回复将路由到目标服务器，而不是发送请求的攻击者设备。

现在根据Netscout的数据，DDoS for hire服务正在对Plex媒体服务器进行武器化，以增强其攻击基础设施，平均放大系数约为4.68。

Plex makes use of Simple Service Discovery Protocol (SSDP) to scan other media devices and streaming clients, but this gives way to a problem when the probe locates an SSDP-enabled broadband internet access router, and in the process, exposes the Plex service registration responder directly on the Internet on UDP port 32414.

更糟糕的是，这家网络安全公司表示，到目前为止，它在互联网上发现了约27000台可滥用的服务器。

Netscout的研究人员罗兰·多宾斯（Roland Dobbins）和斯坦托·比亚纳森（Steinthor Bjarnason）说：“对于宽带互联网接入运营商来说，PMSSDP反射/放大攻击的附带影响可能是巨大的，因为他们的客户无意中将PMSSDP反射镜/放大器暴露在了互联网上。”。

“这可能包括终端客户宽带互联网接入的部分或全部中断，以及由于接入/分配/聚合/核心/对等/传输链路容量消耗而造成的额外服务中断。”

Netscout建议网络运营商过滤指向UDP/32414的流量，并在运营商提供的宽带互联网接入设备上禁用SSDP，以减轻攻击。

本月早些时候，Netscout报告称，Windows远程桌面协议（RDP）服务器被DDoS租用服务滥用，成为DDoS的反射/放大载体。