多个消息来源称,滥用者正在利用流行的WordPress开源内容管理系统中的功能来发起分布式拒绝服务(DDoS)攻击。GoDaddy的首席信息安全官Todd Redfoot告诉eWEEK,他在2月下旬开始对WordPress攻击有所增加。
攻击利用WordPress中的XML-RPC(远程过程调用)“ pingback”功能发起DDoS攻击。XML-RPC在WordPress中被合法地用作内容所有者对帖子进行pingping的一种机制。pingback使内容所有者可以跟踪其内容在何处链接。
Redfoot指出,GoDaddy在2月下旬采取了应对措施以减轻XML-RPC DDoS风险,但是在3月的前两个星期,活动又出现了一次大幅增长。
安全公司Sucuri也看到与WordPress相关的DDoS活动大幅度增加。Sucuri在3月10日报道说,它知道有162,000多个WordPress网站参与了DDoS活动。
安全博客作者Brian Krebs 3月12日报道说,他自己的网站遭到41,000个WordPress博客的攻击。
早在2013年4月,网络安全公司Incapsula 就WordPress DDoS风险发出警告。3月11日,Incapsula 发布了有关当前WordPress DDoS攻击的可视化视图,该攻击正在其网络上进行,并受到10,700个WordPress网站的推动。
当前的WordPress DDoS攻击特别危险,因为没有WordPress用户可以部署的补丁来减轻风险。
Sucuri的CTO Daniel Cid对eWEEK表示,他的公司正在遭受来自所有WordPress版本的攻击。
席德说:“他们最近修补了一个类似的漏洞,但没有修补此漏洞,这使得该站点被误用于DDoS。” “实际上,这些pingback功能之一可以被滥用来攻击其他功能。因此,是的,3.8.1仍然受到影响。”
WordPress 3.8.1是WordPress的最新更新,已于1月底发布。
减轻
从GoDaddy的角度来看,WordPress DDoS攻击的风险是双重的。GoDaddy托管可以发起攻击的WordPress网站。除了成为托管服务提供商之外,它还是DDoS攻击的目标。
Redfoot说,GoDaddy正在采用入站和出站措施来保护其客户和自己的基础架构,并解释说GoDaddy具有多层技术,可用于监视流量和降低风险。
这种特定攻击的主要挑战在于,它利用了某些用户所需的合法功能。Redfoot说:“这不是WordPress平台中的漏洞;它是核心功能,并且WordPress正在做出反应,因为它旨在做出反应。”
问题是关于pingback的数量,通过大量的pingback请求压倒主机,这就是DDoS发生的地方。Redfoot建议,为正常的pingback活动设置正确的阈值是GoDaddy处理风险的多种方法之一。他说,不需要pingback功能的用户也可以从自己的WordPress安装中禁用它。
雷德富特说:“这种攻击不会奏效,因为它能奏效。” “所以我希望,随着时间的流逝,我们将看到更多的解决方案,也许还有WordPress核心调整,以尝试区分流量的优劣。”