Persona con capucha oscura y símbolo de interrogación que oculta su rostro
Vía Pixabay

Un informe reciente señala que ciberdelincuentes usan con frecuencia Plex Media Server para potenciar el ataque distribuido de denegación de servicio (DDoS). Lo que se traduce en un ataque masivo a muchos ordenadores para que dejen de funcionar.

Los servidores de Plex Media son compatibles con plataformas de Windows, macOS, Linux, así como sistemas NAS, entre otros. Los ataques DDoS PMSSPD han abusado “de las respuestas UDP / 32414 SSDP HTTP / U de enrutadores de acceso a Internet de banda ancha expuestos y redirigidos hacia los objetivos de los atacantes”, según Netscout.

No obstante, el motor de búsquedas ZoomEye indica que no todas las versiones de Plex Media Server son vulnerables. La plataforma indica que las versiones 1.21 son las más propensas a recibir ataques.

Un ataque DDoS puede afectar a más de 27 mil dispositivos

Anteriormente comentábamos que un ataque por DDoS puede afectar a muchos ordenadores a la vez, de hecho el número de dispositivos afectados puede superar los 27 mil dispositivos. Esto debido a que los ciberdelicuentes ejecutan “Plex Media Server para amplificar y reflejar el tráfico DDoS”en sus sistemas objetivo.

“La incidencia de ataques de reflexión / amplificación de un solo vector y de múltiples / omni-vectores que aprovechan el PMSSDP ha aumentado significativamente desde noviembre de 2020, lo que indica su utilidad percibida para los atacantes”, indica el informe. Tal es el potencial de esta forma de ataque basada en DDoS que los ciberdelincuentes han convertido el PMSSDP en un arma.

¿Cómo se manifiesta este tipo de ataque?

Los usuarios afectados pueden experimentar interrupción parcial o total del servicio de internet de banda ancha. Incluso pueden presentar dificultad en el servicio debido al acceso, distribución, agregación, núcleo, peering, tránsito o consumo de capacidad de enlace”.

Ante esta situación, una de las mejores alternativas es aislar los nodos de los clientes finales expuestos a ataques, o en dado caso filtrar el tráfico UDP / 32414 en los nodos abusivos. Aunque esta acción podría provocar que las conexiones legítimas se bloqueen.

Por otra parte, se recomienda  que SSDP “se deshabilite de forma predeterminada en el CPE de acceso a Internet de banda ancha proporcionado por el operador, y que se proporcione a los clientes finales una guía para deshabilitar SSDP en marcas / modelos de CPE comunes”.