Мир: Злоумышленники используют протокол XML-RPC для взлома аккаунтов WordPress

8

Специалисты ИБ-компании Sucuri зафиксировали значительный рост атак, в ходе которых злоумышленники используют протокол XML-RPC с целью взлома учетных записей на сайтах под управлением WordPress. Для повышения эффективности брутфорс-атаки преступники применяют метод system.multicall, который в данном случае позволяет опробовать сотни различных комбинаций при помощи одного HTTP-запроса.


Как правило, брутфорс-атаки не отличаются особой сложностью и их довольно легко отразить – подбор многократным обращением к странице регистрации по HTTP/HTTPS слишком очевиден и быстро оканчивается блокировкой атакующего IP-адреса. Тем не менее, этот метод довольно популярен и зачастую успешен, поскольку значительное количество пользователей устанавливают ненадежные пароли.

Для того чтобы сделать атаку менее шумной, злоумышленники начали использовать XML-RPC – протокол вызова удаленных процедур, который поддерживают многие популярные платформы по управлению контентом. Отметим, в WordPress 3.5 и выше эта функция активирована по умолчанию.

Одной из скрытых функций протокола является возможность использования метода system.multicall, позволяющего выполнить несколько команд в рамках одного HTTP-запроса, чем не преминули воспользоваться преступники.

По словам технического директора Sucuri Дэниэла Сида (Daniel Cid), первая подобная атака была зафиксирована 10 сентября 2015 г., затем число попыток начало неуклонно расти. За один день, 7 октября, эксперты зафиксировали порядка 60 тыс. брутфорс-атак на WordPress с использованием XML-RPC и system.multicall. Для того чтобы обезопасить себя, Сид рекомендует пользователям WordPress заблокировать доступ к файлу xmlrpc.php, но только в том случае, если он никак не используется, а также фильтровать запросы к системе system.multicall на уровне WAF (Web Application Firewall). (Sucuri/NovostIT)