Zwielokrotniony atak brute force

Najczęściej donosiliśmy o słabych punktach WordPressa w nawiązaniu do nieco zawodnych wtyczek, ale tym razem eksperci ds. zabepieczeń wykryli zwielokrotnione ataki brute force bezpośrednio na tę najpopularniejszą platformę CMS.

Specjaliści z firmy Sucuri odkryli, w jaki sposób można przeprowadzić zwielokrotniony atak brute force na wbudowaną funkcję WordPressa XML-RPC, by złamać poświadczenia administratora.

Jak wykorzystano protokół XML-RPC?

XML-RPC jest jednym z najprostszych protokołów, służących do bezpiecznej wymiany danych pomiędzy komputerami, za pomocą internetu. Wykorzystuje metodę system.multicall, która umożliwia aplikacji wykonanie wielu poleceń przy pomocy jednego żądania HTTP.

Wiele platform CMS, w tym WordPress i Drupal, korzystają z protokołu XML-RPC.

Tym razem jednak ta sama metoda została wykorzystana by wzmocnić wielokrotnie atak brute force i przy użyciu zaledwie jednego żądania HTTP sprawdzić setki haseł dostępu. To wszystko oczywiście zupełnie bezkarnie.

Zwielokrotniony brute force wykorzystuje protokół XML-RPC — Wystarczy czy albo cztery żądania HTTP aby haker mógł sprawdzić tysiące haseł dostępu

Na czym polega zwielokrotniony atak brute force?

Oznacza to, że zamiast sprawdzać tysiące kombinacji nazw użytkowników i haseł na stronie logowania (co można łatwo zablokować poprzez banowanie numerów IP), hakerzy mogą wykorzystać protokół XML-RPC razem z metodą system.multicall, dzięki któremu:

Ich działania nie zostaną wykryte przez zwykłe oprogramowanie chroniące przed atakami brute force.
Sprawdzą setki tysięcy kombinacji nazw użytkownika i haseł przy użyciu kilku żądań XML-RPC.

“Za pomocą zaledwie 3 lub 4 żądań HTTP, hakerzy mogą sprawdzać tysiące haseł dostępu, sprytnie omijając narzędzia, które zostały stworzone do wykrywania i blokowania ataków typu brute force”, napisali specjaliści firmy Sucuri na swoim blogu.

Pierwszy atak tego rodzaju zauważono na początku zeszłego miesiąca, a po miesiącu ich liczba wzrosła gwałtownie już do 60 000 każdego dnia.

Jak zadbać o bezpieczeństwo swojego bloga?

Aby zabezpieczyć się przed takim zagrożeniem, najlepiej całkowicie zablokuj dostęp do protokołu XML-RPC.

Jeżeli nie korzystasz z żadnej wtyczki, która wykorzystuje pliki xmlrpc.php, po prostu zmień ich nazwe lub usuń je. Ale jeśli korzystasz z wtyczek takich jak JetPack, zablokowanie plików xmlrpc.php może mieć wpływ na nieprawidłowe działanie Twojej strony internetowej.

Wystarczy więc, że administratorzy strony internetowej zablokują żądania XML-RPC system.multicall za pomocą zapór sieciowych typu WAF (web application firewall). Takie zabezpieczenie będzie wystarczające przed ewentualnymi, zwielokrotnionymi atakami brute force.

Słyszeliście już o takim sposobie włamywania się na blogi? A może sami blogujecie i zastanawiacie się właśnie nad tym, jak zabezpieczyć swojego bloga?

Źródło: //thehackernews.com/2015/10/WordPress-BruteForce-Amplification.html

Oceń artykuł

[Głosów: 0 Średnia: 0]

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!