Brute-Force-Verstärkungsangriffe auf WordPress

Die Experten von Sucuri registrieren einen enorme Zunahme von Fällen, in denen das Protokoll XML-RPC ausgenutzt wird, um WordPress-Account-Daten mit Hilfe von Brute-Force-Attacken zu hacken. Die Methode system.multicall hilft den Cyberkriminellen dabei, die Effizienz der Brute-Force-Attacken zu steigern, denn in diesem Fall ermöglicht sie es hunderte verschiedene Kombinationen mit Hilfe einer einzigen HTTP-Anfrage durchzuprobieren.

Brute-Force-Attacken auf WordPress sind keine Seltenheit, allerdings ist das Ausprobieren durch ein vielfaches Aufrufen der Registrierungsseite über HTTP/HTTPS viel zu auffällig und endet schnell im Blockieren der angreifenden IP. Um eine Attacke weniger auffällig zu gestalten, benutzen die Angreifer nun XML-RPC – ein Protokoll zum Aufruf entfernter Prozeduren, das von vielen populären CMS-Plattformen unterstützt wird. Auf WordPress der Versionen 3.5 und höher ist diese Funktion standardmäßig aktiviert.

Das Problem liegt darin, dass die spezialisierten Schutzlösungen für WordPress nur auf einen Fehler beim Aufruf von wp-login.php reagieren, und Einlogg-Versuche im Format XMLRPC ignorieren. Die Durchsicht der HTTP-Logs auf dem Server hilft da auch wenig: Die Anfragen der Cyberkriminellen werden problemlos angenommen, und sollte es nicht klappen, wird ihnen die Standard XML-Fehlermeldung – 403 – Not Authorized – angezeigt.

Das Protokoll XML-RPC sieht unter anderem die Nutzung der Methode system.multicall vor, die es ermöglicht, im Rahmen einer Anfrage gleich viele Befehle auf einmal auszuführen. Das machen sich auch die Angreifer zunutze. „Indem sie 3 oder 4 HTTP-Anfragen absetzen, können die Verbrecher tausende mögliche Passwörter durchprobieren und dabei die Schutzlösungen umgehen, die dafür vorgesehen sind, Brute-Force-Versuche zu erkennen und zu verhindern“, stellt Daniel Cid, Gründer und CTO von Sucuri im Blog des IT-Unternehmens fest.

Laut Angaben des Experten wurde die erste multicall-Attacke am 10. September registriert. Daraufhin begann die Zahl dieser Versuche unaufhörlich zu steigen und am 29. September gab es schließlich einen steilen Sprung nach oben. So registrierten die Forscher an nur einem Tag, dem 7. Oktober, um die 60.000 Brute-Force-Attacken auf WordPress unter Verwendung von XML-RPC und system.multicall.

Da die Angreifer keine Sicherheitslücke ausnutzen, sondern ein Standardfeature der CMS-Plattform benutzen, kann ein Patch das Problem nicht lösen. Um den Missbrauch zu verhindern, empfiehlt Cid, den Zugriff auf die Datei xmlrpc.php zu blockieren, allerdings nur in dem Fall, wenn sie überhaupt nicht genutzt wird (einige WordPress-Plugins rufen sie auf, beispielsweise JetPack). Der Zugriff kann über .htaccess gesperrt werden oder mit Hilfe von Plugins, wie z.B. WordPress Simple Firewall, iThemes Security, Disable XML-RPC. Wenn es nicht möglich ist, die Datei zu blockieren, ohne die Funktionsfähigkeit einzuschränken, können die system.multicall-Aufrufe mittels einer Web Application Firewall (WAF) gefiltert werden. Dem Experten zufolge werden solche Aufrufe selten in freier Wildbahn verwendet, dafür hilft ein Verbot dieser Aufrufe, effektiv Versuche zu unterbinden, Brute-Force-Attacken über XML-RPC zu verstärken.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.