Szerző: Hlács Ferenc

2014. március 13. 10:07:00

160 ezer WordPress-oldalt használtak fel DDos támadáshoz

WordPressen futó weboldalakat használtak fel DDoS támadáshoz hackerek, a tartalomkezelő rendszer egy régóta ismert sebezhetőségét kihasználva. Az akció során 160 ezernél is több zombioldalt vetettek be, ezzel órákra elérhetetlenné téve a célba vett, ugyancsak WordPress-alapú weblapot.

Több mint 160 ezer WordPress-weboldalt használtak fel hackerek egy nagyszabású DDoS támadáshoz a Sucuri biztonsági vállalat szerint. A támadók a nyílt forráskódú tartalomkezelő rendszer pingback funkcióját használták ki, amelynek segítségével az oldalak kereszthivatkozásokat hozhatnak létre az egyes bejegyzések között. Az akcióban 162 ezer legitim oldalt kényszerítettek támadásra, amelyek egy meg nem nevezett népszerű WordPress weblaphoz továbbítottak lekérések tömegét, ezzel órákra elérhetetlenné téve a célpontot.

2007 óta ismerik a biztonsági rést

A Sucuri blogposztja szerint a hackerek egy az XML-RPC, azaz a távoli eljáráshívás WordPress-implementációjában talált biztonsági rést használták ki, amelyet a pingback-funkció mellett többek között a mobil készülékről történő távoli hozzáférésre is használnak. A hibát egyébként 2007 óta ismerik, az ennek ellenére elérhető volt a támadók számára. A biztonsági cég szerint így gyakorlatilag bármelyik WordPress-oldalt fel lehet használni DDoS-támadás végrehajtására.

Hét kedvenc előadónk az idei HWSW mobile!-ról (x) 90 fős előadó lesz a konferencián, segítve az eligazodást, kiemeltük neked a hét kedvencünket.

A szóban forgó esetnél az XML-RPC lekéréseket az elkövetők átlagos oldalakhoz továbbították, amelyek aztán véletlenszerű URL-ekre mutató pingback kérésekkel árasztották el a célba vett weblapot, ami használhatatlanná vált. Bár a legtöbb WordPress lapnál be van kapcsolva a cache-elés, így a korábban meglátogatott oldalakat saját maguk szolgálják ki, ezzel segítve a szerver munkáját, a random, jó eséllyel nem létező URL-ekkel ezt a hackerek kikerülték, és minden egyes lekérésnél újratöltésre kényszerítették a szervert, ami így túlterhelődött.

Nem ez az első eset

A Sucuri szerint egy hasonló támadáshoz nincs szükség nagy sávszélességre, ráadásul az akció nagy számú IP-címre is kiterjesztető, így a célba vett weboldalaknak sokkal nehezebb dolguk van, ha blokkolni akarják azt. A hibát, amely az egyelőre névtelen oldal ostromát lehetővé tette, már 2007-ben bejelentették, a WordPress fejlesztői pedig számos patchben igyekezetek is befoltozni azt, legutóbb a blogrendszer 3.6-os verziójának megjelenésekor, tavaly augusztusban. Az XML-RPC teljes kikapcsolására azonban kevés esély van, miután fontos funkciók kötődnek hozzá, mint a már említett pingback.

A WordPress projektvezetője, Matt Mullenweg szerint ugyanakkor a hiba nem jelent komoly kockázatot, mivel a legtöbb biztonsági szoftver és szolgáltatás gyorsan reagál az ilyen jellegű akciókra, ráadásul olcsóbb és hatékonyabb módjai is vannak már a DDoS támadásoknak. Ennek dacára nem ez az első, hogy a hackerek a WordPress pingback funkcióját lovagolták meg, 2013 júliusában például az Incapsula biztonsági cég egyik ügyfelét vették célba mintegy 50 ezer ilyen online robottal, amelyek másodpercenként ezer, összesen pedig 8 millió lekérést továbbítottak az célponthoz, elérhetetlenné téve azt.

a címlapról

Hirdetés

Hét kedvenc előadónk az idei HWSW mobile!-ról

2019. november 21. 12:41

Idén 90 fős előadói gárdával készülünk a HWSW mobile! digitális termékfejlesztési konferenciára, de hogy segítsünk az eligazodásban, kiemeltük neked a hét kedvencünket.