14:47
10/8/2014

Wektor ataku to znany wszystkim XML bomb wrzucony na interfejs XML RPC — czyli dziura znajduje się w core obu CMS-ów, a nie dodatkowych pluginach. Atak powoduje 100% zajętości procesora serwera. Warto zaktualizować.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

16 komentarzy

Dodaj komentarz
  1. Dzięki za info, właśnie zaktualizowałem stronę, którą się ‘opiekuje’ z WordPressa 3.8 do 3.9. Tak to by jeszcze wisiała na starej wersji kilka miesięcy… :D

    • Tak z ciekawości: jaka jest przyczyna trzymania starej wersji, kiedy aktualizacja do nowszej jest wykonalna? Rozumiem sytuacje kiedy psuje się niezbędny plugin lub siada coś w functions.php, ale z Twojej wypowiedzi wynika, że aktualizacja była możliwa.

      Swoją drogą dobrze, że ten PoC został opublikowany. Być możne w końcu admini jadący na starociach zostaną zmuszeni do aktualizacji, kiedy hostingi zaczną wypowiadać umowy.

    • @nonqu
      A taka przyczyna, że nie było sensu od razu aktualizować 3.8.x do 3.9.x z. Jest to strona, która po prostu ma wisieć jako wizytówka dla pewnej firmy, więc nowe funkcje z 3.9.x nie były zbytnio wymagane, ot dodatek :P
      Jednakże fix dla tego DoS’a był już zainstalowany – WordPress sam instaluje poprawki bezpieczeństwa danej gałęzi (w tym przypadku było to 3.8.3 -> 3.8.4) i za to go lubię :) A aktualizację do nowszej gałęzi trzeba uruchomić ręcznie (no i trzeba wtedy zrobić backup).

    • Czyżbyś nie robił backupów w innych sytuacjach? Backup trzeba robić tak czy siak, upgrade’a można po prostu zaplanować na dzień backupu. Zresztą skoro to taka prosa stronka firmowa to postaw ją na installatronie i nie martw się backupami.

  2. Na Drupala nie ma jeszcze patch’a…

  3. 100% zużycia procesora bodajże tylko na Apache w trybie prefork (nie mam pewności co do trybu worker i nie wiem jak na mniej popularnych serwerach www). Ngix pluje 502 i FPM się dławi, ale zużycie CPU nie szaleje. To zaś oznacza, że można łatwiej odeprzeć atak. Przy 100% z Apache może się okazać, że się nawet nie wbijemy na maszynę po SSH. Miałem okazję odeprzeć dwa takie ataki. jeden z Hetznera (poszło lekko), a drugi z Amazon – tu było nieco więcej ruchu.
    1) Wyłączyć XML-RPC w WP (są gotowe pluginy)
    2) Odciąć atakujący IP na IPTables (lub równoważne)
    3) Jeśli można, to odciąć na poziomie infrastruktury (sprzętowy/wirtualny FW)

  4. Dziękuję i zaktualizuje :)
    A Niebezpiecznik nie boi się że ktoś to wykorzysta przeciw niemu? ;D
    By the way inna metoda ataku przez XMLRPC
    http://www.incapsula.com/blog/wordpress-security-alert-pingback-ddos.html

    • Niebezpiecznik zaktualizowany (mamy nadzieję ;-)

  5. XMLRPC powinien być domyślnie wyłączony

  6. ja jestem zwolennikiem rozwiązań skrojonych na miarę, a jak jakiś gotowy klocek do niego stosuję to tak, aby nie pluł swoją wersją, ani najlepiej aby nie dawał się rozpoznać przez użytkownika
    wtedy script kiddies nie mają najmniejszych szans, a i ataki skierowane wcale nie są proste

  7. Przy okazji – jakieś dzieciaki robią masowe deface randomowych stron, zapewne korzystając z jakiejś znanej podatności, ale nie wiem jaki jest wektor ataku

    http://www.starstv.eu
    https://www.facebook.com/MonstersDefacers

    • Większość stron jest na WordPress od 3.1 do 3.9.2, ale logowanie jest bez żadnej ochrony przeciwko bruteforce.. W takim razie albo jakiś bot która szuka łatwych haseł, albo każda ma ten sam dziurawy plugin?:)

    • Uzupełnienie – wektor ataku to najprawdopodobniej dwie wtyczki: Slider Revolution Responsive i MailPoet Newsletters. Zainteresowani mogą znaleźć szczegóły w sieci.

      Co robić, jak żyć? Jeśli nie ma poprawki na SRR to trzeba chyba chwilowo wywalić (nie wiem czy jest, to płatny plugin), a w przypadku MPN to błąd był poprawiony tego samego dnia po upublicznieniu (w lipcu), więc kto ma starą wersję popełnia grzech ciężki i będzie się smażył w piekle IT.

  8. Installatron i po problemie. :)

  9. Niebezpiecznik nie doczytał strony do której linkuje? Polecenie “Warto zaktualizować” jest niewłaściwe, bo najnowsza wersja WP tez jest przecież podatna.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.