Перейти к содержанию
Авторизация  
Подписчики 0
Сталкер

Злоумышленники используют протокол XML-RPC для взлома аккаунтов WordPress

Автор Сталкер, в Информационные технологии

Рекомендуемые сообщения

Сталкер    7 081

Сталкер
Опубликовано

f8c4b5a4a0da39183dfda97dbefe75b2.jpg

 

Для повышения эффективности брутфорс-атаки преступники применяют метод system.multicall.

Специалисты ИБ-компании Sucuri зафиксировали значительный рост атак, в ходе которых злоумышленники используют протокол XML-RPC с целью взлома учетных записей на сайтах под управлением WordPress. Для повышения эффективности брутфорс-атаки преступники применяют метод system.multicall, который в данном случае позволяет опробовать сотни различных комбинаций при помощи одного HTTP-запроса.

Как правило, брутфорс-атаки не отличаются особой сложностью и их довольно легко отразить - подбор многократным обращением к странице регистрации по HTTP/HTTPS слишком очевиден и быстро оканчивается блокировкой атакующего IP-адреса. Тем не менее, этот метод довольно популярен и зачастую успешен, поскольку значительное количество пользователей  устанавливают ненадежные пароли.

Для того чтобы сделать атаку менее шумной, злоумышленники  начали использовать XML-RPC – протокол вызова удаленных процедур, который поддерживают многие популярные платформы по управлению контентом. Отметим, в WordPress 3.5 и выше эта функция активирована по умолчанию.

Одной из скрытых функций протокола является возможность использования метода system.multicall, позволяющего выполнить несколько команд в рамках одного HTTP-запроса, чем не преминули воспользоваться преступники.

По словам технического директора Sucuri Дэниэла Сида (Daniel Cid), первая подобная атака была зафиксирована 10 сентября 2015 года, затем число попыток начало неуклонно расти. За один день, 7 октября, эксперты зафиксировали порядка 60 тыс. брутфорс-атак на WordPress с использованием XML-RPC и system.multicall.

Для того чтобы обезопасить себя, Сид рекомендует пользователям WordPress заблокировать доступ к файлу xmlrpc.php, но только в том случае, если он никак не используется, а также фильтровать запросы к системе system.multicall на уровне WAF (Web Application Firewall).

 

http://www.securitylab.ru/news/475540.php

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
Авторизация  
Подписчики 0
Перейти к списку тем
×
×
  • Создать...