Эксперты: Для брутфорс-атак на WordPress используется протокол XMLRPC

Использование протокола XMLRPC существенно ускоряет процесс подбора пароля и усложняет обнаружение атаки.

По данным экспертов из ИБ-компании Sucuri, в наше время брутфорс-атаки на web-сайты, работающие на WordPress, являются привычным явлением. С помощью своих honeypot исследователи ежедневно  фиксируют  сотни попыток подобрать пароль, осуществляемые ботнетами:

user: admin, pass: admin
user: admin, pass: 123456
user: admin, pass: 123123
user: admin, pass 112233
user: admin, pass: pass123

Эти пароли кажутся маловероятными, однако, перебрав 200-300 паролей по словарю, боты способны проникнуть в большинство сайтов.Обычно подобные брутфорс-атаки осуществляются через /wp-login.php. Однако они постепенно эволюционируют и теперь при подборе паролей используют метод XMLRPC wp.getUsersBlogs. Причиной смены тактики для злоумышленников стал тот факт, что использование протокола XMLRPC существенно ускоряет процесс подбора. Кроме того, такую атаку сложнее обнаружить.

ПОЛЕЗНО  Все секреты плагина Contact Form 7

Осуществления атаки возможно по причине того, что многие запросы к реализации WordPress XMLRPC требуют имя пользователя и пароль. Исследователи зафиксировали использование в атаках wp.getUsersBlogs, wp.getComments и др. В случае предоставления им пароля, они подтверждают его подлинность:

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>
<string>admin</string></value></param>
<param><value><string>112233</string></value></param></params>
</methodCall>

Примечательно, что помимо пароля, злоумышленники также подбирают имя пользователя. Вместо того, чтобы использовать «admin», они пытаются определить доменное имя, а также настоящее имя администратора.По данным исследователей, за последние несколько недель количество подобных атак возросло в десятки раз – с 17 тыс. в начале июля до 2 млн. В некоторые дни эксперты из Sucuri фиксировали до 200 тысяч попыток брутфорса.