Специалисты компании Sucuri создатели популярного плагина Sucuri Security обнаружили уязвимость в WordPress. Уязвимость позволяет атакующим использовать встроенную в WordPress поддержку протокола XML-RPC и осуществлять усиленные брутфорс-атаки.
XML-RPC – один из протоколов, используемых машинами (плагинами) для обмена данными. Он, в числе прочего, применяет метод system.multicall, позволяющий плагинам выполнять сразу несколько команд, через HTTP-запросы. Многие популярные на сегодня CMS, например WordPress и Drupal, Joomla, поддерживают данный протокол. Стоит отметить, что данный метод уже многократно применялся хакерами. При помощи одного HTTP-запроса, возможно перебрать сразу несколько десятков, а то и сотен паролей, при этом оставаться вне зоне обнаружения.
Если просто брутфорсить страницу ввода логина и пароля в WordPress, CMS все же заметит неладное и будет большой риск быть заблокированным по IP, но использование XML-RPC протокола и system.multicall дает возможность быть незамеченным для самой CMS.
Единственный выход из данной ситуации блокировка администраторам сайтов все XML-RPC-соединения, конечно не без последствий для работы CMS некоторые плагины могут перестать работать. Если у Вас нет плагинов использующих xmlrpc.php, то выходом из ситуации будет переименование файла или его изоляция (удаление) из WordPress.
И на последок статистика популярности CMS за лето 2015 года, которая говорит нам о том, что WordPress является лидером среди CMS благодаря свой простоте в первую очередь.
XML-RPC – один из протоколов, используемых машинами (плагинами) для обмена данными. Он, в числе прочего, применяет метод system.multicall, позволяющий плагинам выполнять сразу несколько команд, через HTTP-запросы. Многие популярные на сегодня CMS, например WordPress и Drupal, Joomla, поддерживают данный протокол. Стоит отметить, что данный метод уже многократно применялся хакерами. При помощи одного HTTP-запроса, возможно перебрать сразу несколько десятков, а то и сотен паролей, при этом оставаться вне зоне обнаружения.
Если просто брутфорсить страницу ввода логина и пароля в WordPress, CMS все же заметит неладное и будет большой риск быть заблокированным по IP, но использование XML-RPC протокола и system.multicall дает возможность быть незамеченным для самой CMS.
Sucuri зафиксировала первую атаку в сентябре 2015 года, но способ пользуется популярностью о чем говорит с начала октября увеличение количество атак. На сегодняшний день насчитывается около 60 000 атак в сутки.«Всего 3-4 HTTP-запроса позволят атакующим перепробовать тысячи паролей, при этом обойдя средства защиты от брутфорс-атак», — замечают специалисты Sucuri в своем блоге.