Как сообщили специалисты по кибербезопасности из компании Sucuri, злоумышленники воспользовались реализованной в CMS функцией Pingback, которая используется для уведомления о перекрестных ссылках на сайт и обновлениях на нем.
В DDoS-атаке участвовало более 162 000 абсолютно легальных сайтов, с которых отправлялись сотни запросов в секунду на один весьма популярный веб-ресурс, использующий CMS WordPress, тем самым сделав его недоступным в течение многих часов. Какой именно сайт стал жертвой кибератаки, представители Sucuri не сообщили.
Известно, что хакеры воспользовались уязвимостью реализованного в WordPress XML-RPC (XML-вызова удаленных процедур), который используется для таких функций, как Pingback, Trackback, удаленный доступ с мобильных устройств и т.д.
«Любой сайт на WordPress с включенным XML-RPC (а он включен по умолчанию) может быть использован в DDoS-атаках на другие сайты», – отметил в своем блоге технический директор Sucuri Дэниел Сид.
Это далеко не первый раз, когда киберпреступники используют функцию WordPress Pingback для проведения DDoS-атак. В июле 2013 года кибербезопасники компании Incapsula обнародовали информацию о том, что один из их клиентов подвергся атаке со стороны 50 000 ботов, создавших 8 000 000 фейковых записей как раз с помощью Pingback.
Надо сказать, что разработчики WordPress знают об уязвимости и пытаются решить эту проблему на протяжении нескольких лет. В последний раз работа над улучшением безопасности Pingback велась перед выпуском WordPress 3.6 в августе 2013 года.
Тем не менее, полностью отключить XML-RPC практически невозможно, т.к. без него движок утратит некоторые свои важные функции. «Я говорил с командой WordPress: ими уже ведется работа по минимизации этой проблемы. В то же время они стараются сохранить функцию Pingback, т.к. для них это важно», – сообщил Дэниел Сид .
Казалось бы, DDoS-атака с парой сотен запросов в секунду выглядит не очень-то солидно, если сравнивать ее с атаками на Namecheap и CloudFlare в прошлом месяце, во время которых трафик достигал 100-400 гигабит в секунду. Однако, по мнению Сида, она примечательна тем, что, скорее всего, все спланировал и осуществил всего один киберпреступник. В своем блоге Дэниел написал по этому поводу: «Вы видите, насколько мощной может быть атака? Один злоумышленник может использовать тысячи обычных популярных сайтов на WordPress, чтобы совершать DDoS-атаки, оставаясь при этом в тени».