Najczęściej donosiliśmy o słabych punktach WordPressa w nawiązaniu do nieco zawodnych wtyczek, ale tym razem eksperci ds. zabepieczeń wykryli zwielokrotnione ataki brute force bezpośrednio na tę najpopularniejszą platformę CMS.
Specjaliści z firmy Sucuri odkryli, w jaki sposób można przeprowadzić zwielokrotniony atak brute force na wbudowaną funkcję WordPressa XML-RPC, by złamać poświadczenia administratora.
Jak wykorzystano protokół XML-RPC?
XML-RPC jest jednym z najprostszych protokołów, służących do bezpiecznej wymiany danych pomiędzy komputerami, za pomocą internetu. Wykorzystuje metodę system.multicall, która umożliwia aplikacji wykonanie wielu poleceń przy pomocy jednego żądania HTTP.
Wiele platform CMS, w tym WordPress i Drupal, korzystają z protokołu XML-RPC.
Tym razem jednak ta sama metoda została wykorzystana by wzmocnić wielokrotnie atak brute force i przy użyciu zaledwie jednego żądania HTTP sprawdzić setki haseł dostępu. To wszystko oczywiście zupełnie bezkarnie.
Na czym polega zwielokrotniony atak brute force?
Oznacza to, że zamiast sprawdzać tysiące kombinacji nazw użytkowników i haseł na stronie logowania (co można łatwo zablokować poprzez banowanie numerów IP), hakerzy mogą wykorzystać protokół XML-RPC razem z metodą system.multicall, dzięki któremu:
- Ich działania nie zostaną wykryte przez zwykłe oprogramowanie chroniące przed atakami brute force.
- Sprawdzą setki tysięcy kombinacji nazw użytkownika i haseł przy użyciu kilku żądań XML-RPC.
“Za pomocą zaledwie 3 lub 4 żądań HTTP, hakerzy mogą sprawdzać tysiące haseł dostępu, sprytnie omijając narzędzia, które zostały stworzone do wykrywania i blokowania ataków typu brute force”, napisali specjaliści firmy Sucuri na swoim blogu.
Pierwszy atak tego rodzaju zauważono na początku zeszłego miesiąca, a po miesiącu ich liczba wzrosła gwałtownie już do 60 000 każdego dnia.
Jak zadbać o bezpieczeństwo swojego bloga?
Aby zabezpieczyć się przed takim zagrożeniem, najlepiej całkowicie zablokuj dostęp do protokołu XML-RPC.
Jeżeli nie korzystasz z żadnej wtyczki, która wykorzystuje pliki xmlrpc.php, po prostu zmień ich nazwe lub usuń je. Ale jeśli korzystasz z wtyczek takich jak JetPack, zablokowanie plików xmlrpc.php może mieć wpływ na nieprawidłowe działanie Twojej strony internetowej.
Wystarczy więc, że administratorzy strony internetowej zablokują żądania XML-RPC system.multicall za pomocą zapór sieciowych typu WAF (web application firewall). Takie zabezpieczenie będzie wystarczające przed ewentualnymi, zwielokrotnionymi atakami brute force.
Słyszeliście już o takim sposobie włamywania się na blogi? A może sami blogujecie i zastanawiacie się właśnie nad tym, jak zabezpieczyć swojego bloga?
Źródło: //thehackernews.com/2015/10/WordPress-BruteForce-Amplification.html
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!