Attacchi brute-force amplificati dall’utilizzo malevolo del servizio XML-RPC di WordPress

Gli esperti di Sucuri hanno rilevato un sensibile aumento dei casi di utilizzo maligno del protocollo XML-RPC allo scopo di violare gli account WordPress tramite attacchi brute-force rivolti a login e password degli utenti della popolare piattaforma CMS. I malintenzionati migliorano l’efficacia di tali attacchi ricorrendo al metodo system.multicall, il quale consente, nel caso specifico, di provare centinaia di combinazioni diverse, tramite una richiesta HTTP.

Gli attacchi a forza bruta nei confronti di WordPress non sono affatto una rarità; i ripetuti tentativi di accesso al servizio tramite protocollo HTTP/HTTPS, utilizzando l’apposita pagina di registrazione, non passano ad ogni caso inosservati, e si concludono ben presto con il blocco dell’indirizzo IP dal quale è partito l’attacco. Per rendere l’assalto meno evidente e manifesto, i malintenzionati hanno iniziato ad utilizzare il protocollo XML-RPC, ovvero il protocollo di chiamata delle procedure remote, supportato da numerose piattaforme CMS di ampia diffusione. Tale funzione risulta abilitata per impostazione predefinita nelle versioni 3.5 e superiori di WordPress.

Nella circostanza, il problema deriva dal fatto che le soluzioni di protezione specializzate per WordPress reagiscono soltanto ad eventuali errori che emergono al momento della chiamata del file wp-login.php, ed ignorano, invece, i tentativi di accesso eseguiti in formato XMLRPC. In questo caso, è davvero poco probabile che si riveli utile esaminare i log HTTP presenti sul server: in effetti, le richieste inviate dai malfattori vengono accettate senza il minimo problema e, qualora l’esito non sia positivo, esse generano semplicemente il messaggio XML di errore standard (403 – Not Authorized).

Il protocollo XML-RPC prevede, tra l’altro, l’utilizzo del metodo system.multicall, il quale consente l’esecuzione simultanea di numerosi comandi nell’ambito di una singola query. Di fatto, i malintenzionati hanno sfruttato proprio questa specifica caratteristica. “Inoltrando 3 o 4 richieste HTTP, gli attaccanti possono provare, in serie, combinazioni di caratteri relative a migliaia di password, bypassando gli strumenti di protezione preposti a monitorare e bloccare i tentativi di attacco brute-force”, – afferma Daniel Cid, fondatore e direttore tecnico di Sucuri, nel blog della società californiana specializzata in sicurezza IT.

Secondo l’esperto di Sucuri, il primo attacco multicall è stato rilevato il 10 settembre scorso. In seguito, il numero di tali tentativi ha iniziato a crescere in maniera progressiva, finché, il 29 settembre, è stato registrato un aumento a dir poco repentino degli stessi. Basti pensare che, in un solo giorno, il 7 ottobre scorso, i ricercatori hanno individuato circa 60.000 attacchi brute-force nei confronti di WordPress, condotti mediante l’utilizzo del protocollo XML-RPC e del metodo system.multicall.

Visto che gli attacker non ricorrono all’impiego di exploit, ma si avvalgono di una funzionalità standard della piattaforma CMS in questione, il problema qui sopra descritto non può essere risolto mediante il rilascio di una patch. Per evitare ogni possibile abuso riguardo a tale specifica funzione, Daniel Cid raccomanda di bloccare l’accesso al file xmlrpc.php, ma solo nel caso in cui lo stesso non venga in alcun modo utilizzato (ne fanno uso alcuni plug-in di WordPress, quali, ad esempio, JetPack). L’accesso può essere impedito tramite .htaccess, o mediante l’utilizzo di appositi plug-in, quali WordPress Simple Firewall, iThemes Security o Disable XML-RPC. Se, tuttavia, si rivela impossibile bloccare l’accesso senza nuocere al funzionamento, potranno allora essere filtrate le richieste system.multicall a livello di firewall delle applicazioni web (WAF). Secondo quanto asserisce l’esperto, simili richieste vengono utilizzate raramente in-the-wild; il fatto di vietarle consentirà, ad ogni caso, di intercettare in maniera efficace ogni tentativo di rafforzare ed amplificare l’attacco brute-force realizzato attraverso il servizio XML-RPC.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *