Brute Force via WordPress XML-RPC

Brute Force aanvallen zijn één van de oudste en meest voorkomende soorten aanvallen die we nog steeds op het Internet vandaag de dag zien. Elke server wordt bijna continue aangevallen. Dit gebeurt via protocollen zoals SSH, EXIM, DOVECOT of FTP. Websites worden eveneens aangevallen, door webgebaseerde brute force aanvallen tegen welke CMS u ook gebruikt.
Deze aanvallen zijn vaak niet zeer complex en zijn theoretisch gemakkelijk te stoppen en te verzachten. Maar ze vinden nog steeds plaats en zijn regelmatig succesvol. Dit komt meestal omdat mensen zeer slecht zijn bij het kiezen van goede wachtwoord of gebruikersnaam. Hier spelen hackers simpel op in door traditioneel 500 verschillende wachtwoorden te proberen. Deze vorm van aanvallen zijn vrij simpel te onderscheppen, omdat elke poging wordt geregistreerd.  Als het ingestelde limiet is bereikt, wordt het ip-adres geblokkeerd van de server of website.

Brute Force Versterken

Wat als een aanvaller in staat is om 500 wachtwoorden in 1 aanval te kunnen afvuren op een website?
Stel je een wereld voor waar een aanvaller instaat zou zijn om Brute kracht aanvallen op een zodanige wijze te versterken dat traditionele risicobeperkende strategieën tekortkomen. In plaats van 500 geregistreerde inlog pogingen zouden de aanvallers dat kunnen reduceren tot 50 of zelfs maar 20, en nog steeds proberen 500 of zelfs duizenden inlogpogingen bij elk verzoek. U begrijpt dan dat de beveiliging een stuk moeilijker wordt. Deze versterkmethode maakt de taak van een aanvaller veel gemakkelijker. Helaas zijn ze daar in geslaagd.

Brute Force Versterkte Aanvallen via WordPress XML-RPC

XML-RPC is een eenvoudige manier om externe procedureaanroepen (RPC) via HTTP door te geven. Het kan worden gebruikt met Perl, Java, Python, C, C++, PHP en vele andere programmeertalen. De meeste content managementsystemen ondersteunen XML-RPC.

Eén van de verborgen functies van oa. WordPress is XML-RPC, waarmee de methode system.multicall kan worden uitgevoerd om meerdere methoden binnen één enkele aanvraag uit te voeren. Dat is zeer nuttig voor het toestaan van een toepassing om meerdere opdrachten door te geven binnen één HTTP-verzoek. Eén van de meest bekende plugins die hiervan gebruikt maakt is Jetpack.

Hieronder is een schema van de aanvallen die mijn partners van Sucuri hebben gemarkeerd als Brute Force en die specifiek zijn gericht op de XML-RPC system.multicall methode. Vergeet niet, elke aanvraag kan een aanval van 100 als dan niet 1000 inlogpogingen bevatten met gebruikersnaam/wachtwoord. Met een kleine rekensom kan je de omvang van deze aanslagen en de potentiële gevolgen wel begrijpen.

BruteForce Amplification Attacks WordPress XMLRP
Bron: sucuri.net

XML-RPC Brute Force Beveiliging

Om de websites te beschermen tegen deze nieuwe vorm van aanvallen, ben ik recentelijk overgestapt op CloudLinux. Hier ben ik op wat kleine obstakels gestuit maar ik ben van mening dat dat zo als goed als tot het verleden behoort. Komende dagen gaan wij een nieuwe beveiligingslaag aanbrengen m.b.t. de XML-RPC brute force aanvallen. De komende paar dagen worden alle websites één voor één voorzien van deze beveiligingslaag.

Gerelateerd artikel op blog.sucuri.net
Brute Force Amplification Attacks Against WordPress XMLRPC

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *