Sucuri, società da anni attiva nel campo della sicurezza informatica che, tra i vari prodotti, mette a gratuitamente a disposizione degli utenti un ottimo strumento per verificare la bontà dei siti web che si visitano (Sucuri SiteCheck; vedere anche Controllare se un sito è sicuro. Effettuare la scansione antivirus di un file senza scaricarlo), ha scoperto un attacco su larga scala sferrato nei confronti di almeno 162.000 siti WordPress, utilizzati poi per aggreddire un unico sito web.
L’attacco sembra abbia preso di mira l’interfaccia XML-RPC di WordPress: grazie al protocollo XML-RPC, la piattaforma CMS permette infatti servizi di pingback, trackback e l’acesso remoto ad alcuni utenti. RPC è l’acronimo di Remote Procedure Call: XML-RPC utilizza HTTP per trasportare le informazioni ed XML per codificare i dati.
Come spiega il CTO di Sucuri, Daniel Cid, l’aggressore avrebbe quindi sfruttato una funzionalità abilitata di default in WordPress ossia il pingback via XML-RPC per generare un elevatissimo numero di richieste di connessione determinando l’irraggiungibilità del sito di destinazione. Senza cadere nel sensazionalismo, Cid ha osservato come, grazie alla configurazione di default di WordPress, blog gestiti da utenti di tutto il mondo possano trasformarsi in un’enorme botnet, utilizzabile per lanciare efficaci attacchi DoS (Denial of Service).
Il pingback permette a blogger ed autori web di ricevere una notifica quando un altro sito inserisce un link verso uno dei propri documenti (i riferimenti ai siti altrui vengono poi generalmente inseriti in calce all’articolo originale).
Utilizzando un semplicissimo comando, l’aggressore ha quindi avviato i pingback inserendo in ogni query remota un parametro casuale così da saltare tutti i meccanismi di caching del sito web oggetto dell'”attacco distribuito” e provocando una completa elaborazione di ogni singola richiesta.
Per verificare se il proprio blog WordPress sia utilizzato per sferrare attacchi DoS, è possibile esaminare i log del server web alla ricerca di richieste POST contenenti riferimenti ad indirizzi Internet con parametri aggiuntivi che sembrano generati in maniera del tutto casuale.
Si può ricorrere anche a questo servizio offerto da Sucuri che consente di controllare se un sito WordPress sia stato già usato in attacchi DoS.
Cid suggerisce, ove possibile, di disattivare la funzionalità di pingback oppure creare un plugin WordPress che utilizzi il seguente codice:
add_filter('xmlrpc_methods', function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );
Per maggiori informazioni è possibile consultare l’analisi pubblicata sul sito web di Sucuri.