Attacchi Bruteforce su WordPress XML-RPC

Gli attacchi bruteforce sui siti web realizzati con WordPress restano ancora un problema  molto grave e piuttosto comune. Il CMS più diffuso in assoluto, che permette a chiunque, anche ad un “neofita” di sviluppare un sito web in pochissimo tempo, presenta ancora oggi una falla per la quale non sembra esserci rimedio.

Un attacco bruteteforce ha l’obiettivo principale di accedere, tentando migliaia di combinazioni (login e password), abusivamente ad un sistema. Quanto più semplici sono il nome utente e la password di accesso, tanto più semplice è per l’attacker accedere abusivamente al sito web attaccato.

Ma procediamo con ordine:

Qual è la causa di questi attacchi?

La causa è da ricercare in un bug del protocollo XML-RPC di WordPress.

È un bug presente oramai da diverse release del famoso CMS, e al quale pare non si sia ancora riusciti a trovare soluzione definitiva, e riguarda il protocollo RPC (Remote Procedure Call) che utilizza lo standard XML e permette di gestire agevolmente diverse funzionalità di WordPress, tra cui il pingback dei post pubblicati su altri Blog, il trackback, etc…

wordpress-xml-rpc

wordpress xml rpc

Come funziona questo bug?

Sfruttando il bug presente nel protocollo XML-RPC, viene generato un attacco bruteforce verso diversi siti WordPress che a loro volta generano verso un altro host target un attacco di tipo DDoS (Distrubuited Denial of Service).

In pratica è una sorta di reazione a catena: un attacker genera un bruteforce verso “n” siti che utilizzano WordPress e al tempo stesso riesce a convogliare tutta la potenza generata dai diversi bruteforce verso un altro host target (anche siti che non usano WP attenzione…) il quale subirà un attacco di tipo DDoS.

Ricordiamo che un attacco di tipo DDoS, come quelli DoS, punta sostanzialmente a saturare le risorse di rete e/o computazionali di un determinato sistema “bombardando” l’host target con migliaia di richieste. L’obiettivo è quello di mettere offline e quindi negare la fruizione del servizio (appunto Denial of Service) solo che, nel caso di attacchi DDoS, le sorgenti sono molteplici e quindi si parla di attacco distribuito.

In buona sostanza, è come se i vari attacchi bruteforce venissero “amplificati” dal protocollo XML-RPC di WordPress, al punto tale da generare un attacco particolarmente potente verso il povero sito malcapitato.

A questo punto possiamo immaginare le conseguenze;

in primo luogo il bruteforce, generando un numero enorme di accessi, causa un aumento esponenziale del consumo di risorse del sito preso di mira, con conseguenze che possono essere anche molto gravi, come mettere ko un intero server.

Cosa dire del sito che subisce “l’attacco finale”… Dobbiamo per davvero dire qualcosa? 😛

Il “problema nel problema” è che, ad oggi, non è stata trovata una soluzione;

alcuni consigliano di disabilitare il servizio XML-RPC (che, tra l’altro, è attivo di default su WordPress), altri consigliano di bloccare l’esecuzione del file xmlrpc.php.

In tutta onestà, questi sono palliativi che mitigano il problema, ma nessuna delle 2 opzioni rappresenta una soluzione definitiva.

Nell’ultima release di WordPress, la 3.9.2, rilasciata il 6/08/2014, è stata fixata la generazione di un possibile attacco DDoS sfruttando il protocollo XML-RPC, ma della soluzione totale del problema bruteforce, non c’è traccia.

Considerato l’enorme utilizzo che si fa di WordPress (il 60% dei siti nuovi usa quel CMS), ci auguriamo che il problema venga risolto a breve, con buona pace di tutta la comunità di Internet e dei nostri sistemisti. 🙂

Dulcis in fundo, proprio il 4 Settembre è stata ufficializzata la nuova versione 4.0 “Benny” di WordPress e, neanche in questo caso, nel changelog ufficiale c’è traccia di una patch che metta fine a questo problema. 🙁

2 Comments

  1. MrRotella 20/09/2016
    • Fabrizio Leo 19/10/2016

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *


The reCAPTCHA verification period has expired. Please reload the page.