Wordpress

Nouveaux types d’attaques (DDoS) faites à partir de sites sous WordPress

Des chercheurs en sécurité informatique ont révélé une récente attaque par déni de service (DDoS) utilisant pas moins de 162 000 sites propulsés par WordPress pour frapper un autre site et le mettre hors ligne.

La technique est possible, pour un attaquant avec des moyens modestes, d’amplifier considérablement la bande passante mise à sa disposition.

En envoyant des requêtes Web d’une manière qui donne l’impression qu’elles proviennent du site cible, l’attaquant a pu tromper les serveurs WordPress en bombardant la cible avec plus de trafic qu’elle n’a pu gérer. En plus de manipuler un si grand nombre de sites à leur insu afin d’en attaquer un autre, l’attaque est notable pour cibler XML-RPC, un protocole que les sites sous WordPress et d’autres applications Web utilisent pour fournir des services tels que l’accès distant à certains utilisateurs, des pingbacks et trackbacks.

Des chercheurs de la boîte en sécurité informatique Sucuri ont comptabilisé récemment plus de 162 000 sites légitimes WordPress qui ont frappés un seul site. Ils soupçonnent qu’ils auraient pu en voir davantage s’ils n’avaient pas décidé de terminer l’attaque en bloquant les demandes.

« Voyez-vous à quel point cela peut être puissant? » écrit le CTO de Sucuri Daniel Cid dans un billet publié lundi :

« Un attaquant peut utiliser des milliers de sites WordPress populaires propres pour effectuer leur attaque DDoS, tout en restant caché dans l’ombre, et que tout cela se produit avec une simple requête ping de retour demandant le fichier XML-RPC. »

Le résultat : le site Web cible, non identifié, a été inondé avec des centaines de requêtes par seconde. Des centaines de requêtes par seconde, ça ne sonne pas comme beaucoup, surtout en comparaison avec les récentes attaques dont certaines ont atteint des volumes de près de 400 gigabits par seconde. Il est important de se rappeler que le trafic XML-RPC est dirigé sur la couche 7 (la couche applicative) de la victime, qui gère le HTTP, FTP, DNS et plusieurs autres protocoles de communication. Beaucoup de techniques DDoS dirigent des torrents de trafic à un niveau bien inférieur, habituellement dans la couche réseau (la couche 3). Les attaques de Couche 7 exigent fréquemment des données beaucoup moins indésirables afin qu’elles soient efficaces.

Le billet de Cid contient beaucoup d’informations utiles sur les attaques DDoS qui abusent du XML-RPC, y compris ce scanneur qui vous indiquera si une adresse Web spécifique s’est vue participer à l’attaque que Sucuri a bloquée. La publication fournit également des instructions que les administrateurs de sites WordPress peuvent suivre pour empêcher leurs serveurs d’être exploités pour réaliser ce type d’attaque.

La technique consiste à ajouter le code suivant au thème du site :

add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );

CID ne mentionne pas s’il existe des conséquences négatives qui découleront de l’ajout du filtre. Alors, soyez prudent et vigilant…

Étant donné que le XML-RPC fournit des fonctionnalités utiles et éventuellement nécessaires, les lecteurs sont priés d’examiner soigneusement le pour et le contre avant d’appliquer une telle mesure sur un serveur en production.

Les attaques tirant avantage de WordPress sont juste une technique dans une myriade d’armes DDoS. D’autres implémentations comprennent l’abus du protocole de synchronisation de l’heure de l’Internet (NTP) et l’exploitation des serveurs de système de noms de domaine (DNS) ouverts pour amplifier considérablement le trafic. Les attaquants ont également mené des campagnes de DDoS extrêmement puissantes avec des « bot nets » de serveurs WordPress. Le nombre croissant d’attaques montre qu’il n’y a pas de pénurie en ce qui concerne les moyens d’infliger des dommages paralysants sur Internet.

Load More Related Articles
Load More By JMWP
Load More In Wordpress

Pour laisser un commentaire

Your email address will not be published. Required fields are marked *

Check Also

Twitter – 5 outils gratuits pour cesser de suivre vos non-followers

Comme nous l’avons vu dernièrement avec le billet ...