loading_img
'Plex-mediaservers worden actief ingezet bij ddos-aanvallen'
17/02/2022

'Plex-mediaservers worden actief ingezet bij ddos-aanvallen'

  • Door 3000hits
  • |
  • 213 Keer bekeken

Beveiligingsbedrijf Netscout waarschuwt voor Plex-mediaservers die ingezet worden voor ddos-aanvallen. Volgens het bedrijf hebben zogenaamde ddos-for-hire-diensten hun zinnen gezet op de servers omdat ze eenvoudig misbruik kunnen maken van het SSDP-protocol.

Het Simple Service Discovery Protocol of SSDP stelt een Plex-mediaserver in staat om een lokaal netwerk te scannen op zoek naar apparaten waarmee het verbinding kan maken. Volgens Netscout creëert de Plex Media Server-app een nieuw ‘network address translation’-regel bij de lokale internetrouter waardoor het SSDP-protocol van de mediaserver directe toegang heeft tot het internet via udp-poort 32414.

Het gebruik van het SSDP-protocol via deze udp-poort van een router is voor cybercriminelen een interessante piste om mediaservers die gebruikmaken van de Plex Media Server-app op te sporen, er toegang toe te krijgen en er nadien ddos-aanvallen mee uit te voeren. Hackers zouden enkel op het internet moeten zoeken naar apparaten die de udp-poort 32414 open hebben staan en kunnen dankzij het geactiveerde protocol het apparaat overnemen.

Het bedrijf zegt al meer dan 27.000 kwetsbare Plex-servers te hebben gevonden die gebruikt kunnen worden om een ddos-aanval mee uit te voeren. Bovendien is Netscout ervan overtuigd dat ddos-aanvallen via deze servers steeds meer gemeengoed gaan worden omdat geavanceerde cybercriminelen er al heel wat hebben ingelijfd in hun botnets. Het bedrijf stelt dat deze criminelen ze spoedig beschikbaar zullen stellen aan een groter hackerpubliek. Netscout verwacht echter niet dat de gehackte servers de drijvende kracht zullen zijn bij toekomstige ddos-aanvallen. De servers zouden in combinatie gebruikt kunnen worden met andere middelen.