Информационные технологииStfw.Ru 🔍
🕛

Эксперты: Для брутфорс-атак на WordPress используется протокол XMLRPC

Использование протокола XMLRPC существенно ускоряет процесс подбора пароля и усложняет обнаружение атаки.Использование протокола XMLRPC существенно ускоряет процесс подбора пароля и усложняе
Использование протокола XMLRPC существенно ускоряет процесс подбора пароля и усложняет обнаружение атаки.


По данным экспертов из ИБ-компании Sucuri, в наше время брутфорс-атаки на web-сайты, работающие на WordPress, являются привычным явлением. С помощью своих honeypot исследователи ежедневно  фиксируют  сотни попыток подобрать пароль, осуществляемые ботнетами:

user: admin, pass: admin

user: admin, pass: 123456

user: admin, pass: 123123

user: admin, pass 112233

user: admin, pass: pass123

Эти пароли кажутся маловероятными, однако, перебрав 200-300 паролей по словарю, боты способны проникнуть в большинство сайтов.

Обычно подобные брутфорс-атаки осуществляются через /wp-login.php. Однако они постепенно эволюционируют и теперь при подборе паролей используют метод XMLRPC wp.getUsersBlogs. Причиной смены тактики для злоумышленников стал тот факт, что использование протокола XMLRPC существенно ускоряет процесс подбора. Кроме того, такую атаку сложнее обнаружить.

Осуществления атаки возможно по причине того, что многие запросы к реализации WordPress XMLRPC требуют имя пользователя и пароль. Исследователи зафиксировали использование в атаках wp.getUsersBlogs, wp.getComments и др. В случае предоставления им пароля, они подтверждают его подлинность:

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>

<string>admin</string></value></param>

<param><value><string>112233</string></value></param></params>

</methodCall>

Примечательно, что помимо пароля, злоумышленники также подбирают имя пользователя. Вместо того, чтобы использовать «admin», они пытаются определить доменное имя, а также настоящее имя администратора.

По данным исследователей, за последние несколько недель количество подобных атак возросло в десятки раз – с 17 тыс. в начале июля до 2 млн. В некоторые дни эксперты из Sucuri фиксировали до 200 тысяч попыток брутфорса. 

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.