Napad spreminja strani na WordPressu v zombije za DDoS
Matej Huš
12. mar 2014 ob 14:09:22
Koordinirani napadi DDoS na spletne strani lahko uporabljajo različne vektorje za ojačitev, recimo strežnike za sinhronizacijo ure NTP, sistem DNS-strežnikov ali pa strani na WordPressu. Raziskovalci opisujejo, kako so napadalci uporabili 162.000 legitimnih strani na WordPressu za DDoS na neko stran.
Izkoristiti je mogoče strani, ki imajo vključen pingback, kar je privzeta nastavitev ob namestitvi WordPressa. V tem primeru je mogoče uporabiti protokol XML-RPC za pingback, trackback, oddaljen dostop in druge vrste nadzora. To se je zgodilo neimenovani strani, ki so jo zasuli HTTP-zahtevki z različnimi argumenti, da so sprožili vsakokratno generiranje celotnega odgovora in obšli caching.
Analiza je pokazala, da so vsi zahtevki izvirali iz legitimnih strani na WordPressu. Do prekinitve iskanja so jih našli 162.000, bržkone pa jih je bilo še več. Napad je zelo enostavno sprožiti, saj je treba stranem le podtakniti lažen IP-naslov, ki pripada tarči, pa jo bodo zasule z zahtevki. Ker ti sodijo na nivo 7 in ne 3, stran ohromi že manjša količina prometa kot na primer pri napadu prek NTP-strežnikov.
Proti opisani težavi se bo zelo težko boriti. Čeprav lahko vsak lastnik WordPressa izključi XML-RPC na svoji strani, si s tem v bistvu onemogoči pomembno funkcionalnost. Mogoče je uporabiti filter ali pa omenjeni promet blokirati v požarnem zidu. Na spletni strani Sucuri je mogoče preveriti, ali vaš WordPress izvaja DDoS.
Matt Mullenweg, vodja projekta WordPress, pravi, da XML-RPC ne predstavlja večje nevarnosti na internetu. Pravi, da je ranljivost poznana že dlje časa (vsaj od leta 2007), a se redko izkorišča razen v eksperimentih, ker obstajajo učinkovitejši in cenejši načini za proženje napadov DDoS. A vseeno to ni prvikrat, da smo tovrsten napad videli tudi v divjini.