Перейти к содержанию
Авторизация  
Сталкер

Злоумышленники используют протокол XML-RPC для взлома аккаунтов WordPress

Рекомендуемые сообщения

f8c4b5a4a0da39183dfda97dbefe75b2.jpg

 

Для повышения эффективности брутфорс-атаки преступники применяют метод system.multicall.

Специалисты ИБ-компании Sucuri зафиксировали значительный рост атак, в ходе которых злоумышленники используют протокол XML-RPC с целью взлома учетных записей на сайтах под управлением WordPress. Для повышения эффективности брутфорс-атаки преступники применяют метод system.multicall, который в данном случае позволяет опробовать сотни различных комбинаций при помощи одного HTTP-запроса.

Как правило, брутфорс-атаки не отличаются особой сложностью и их довольно легко отразить - подбор многократным обращением к странице регистрации по HTTP/HTTPS слишком очевиден и быстро оканчивается блокировкой атакующего IP-адреса. Тем не менее, этот метод довольно популярен и зачастую успешен, поскольку значительное количество пользователей  устанавливают ненадежные пароли.

Для того чтобы сделать атаку менее шумной, злоумышленники  начали использовать XML-RPC – протокол вызова удаленных процедур, который поддерживают многие популярные платформы по управлению контентом. Отметим, в WordPress 3.5 и выше эта функция активирована по умолчанию.

Одной из скрытых функций протокола является возможность использования метода system.multicall, позволяющего выполнить несколько команд в рамках одного HTTP-запроса, чем не преминули воспользоваться преступники.

По словам технического директора Sucuri Дэниэла Сида (Daniel Cid), первая подобная атака была зафиксирована 10 сентября 2015 года, затем число попыток начало неуклонно расти. За один день, 7 октября, эксперты зафиксировали порядка 60 тыс. брутфорс-атак на WordPress с использованием XML-RPC и system.multicall.

Для того чтобы обезопасить себя, Сид рекомендует пользователям WordPress заблокировать доступ к файлу xmlrpc.php, но только в том случае, если он никак не используется, а также фильтровать запросы к системе system.multicall на уровне WAF (Web Application Firewall).

 

http://www.securitylab.ru/news/475540.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×