Wordpress: migliaia di siti utilizzati da un hacker per un attacco informatico DDoS

Grazie a una tecnica molto specifica, che rischia di diventare quasi epidemica, un hacker ha usato migliaia di siti WordPress per un potente e insidioso attacco informatico

A quanto pare oltre 162.000 siti basati sulla piattaforma WordPress sono stati indotti con l’artificio a unire le forze in un attacco DDoS contro un altro sito, almeno a giudicare dagli indizi raccolti da alcuni esperti di sicurezza informatica dell’azienda specializzata Sucuri.

Il trucco è piuttosto complesso, ma si può riassumere così: l’hacker ha indotto i server WordPress a bombardare di risposte il sito bersaglio, convincendoli dell’arrivo di una raffica di query proventienti proprio dal suo bersaglio. Il peso di questo traffico fasullo è più che sufficiente a mandare in crisi un normale server, cosa che si è puntualmente verificata, spedendo offline il sito colpito.

Anatomia di un disastro


wordpress--hacker

Le 162.000 pagine coinvolte nell’attacco sono tutte legittime, normali siti i cui gestori erano ignari del caos generato dal proprio server. La meccanica di questo attacco è particolare e degna di nota, perché sebbene non si sia trattato di un DDoS con un volume di traffico significativo rispetto alla media di queste perturbazioni della Grande Rete, la sua efficacia è stata assoluta.

    “Potete comprendere quanto questo sia potente? Un hacker può sfruttare migliaia di pulitissime e affidabili pagine WordPress per scatenare il suo DDoS, rimanendo nascosto nelle ombre. Tutto quello che succede, infatti, parte con una semplice richiesta di ping back al file XML-RPC”

Queste sono le parole del CTO Daniel Cid di Sucuri. Per spiegarle è sufficiente dire che il file XML-RPC.php è basato su un protocollo che permette di eseguire chiamate a procedure remote via Internet, e che le strutture dati trasmesse possono essere complesse e pretendono la trasmissione del risultato - in questo caso si tratta probabilmente del meccanismo per ricevere pingback e trackback da altri blog a una pagina. Il traffico in questo caso è diretto al Livello 7 di un sito, che agisce a stretto contatto con le applicazioni e che gestisce HTTP, FTP, DNS e così via.

Questo genere di DDoS è molto più potente di quelli regolari, quindi, ma è anche molto più raro - ma secondo Ars Technica le tecniche che creano disturbo sfruttando la comunissima piattaforma WordPress potrebbero essere in aumento - un cruccio che dovrà essere affrontato dalla community dei suoi sviluppatori.

  • shares
  • Mail