رفتن به نوشته‌ها

حملات DDoS از طریق وب سایت های WordPress

 حملات DDoS از طریق وب سایت های WordPress
حملات DDoS از طریق وب سایت های WordPress

به کاربرانی که وب گاه های خود را با استفاده از سامانه های مدیریت محتوای وردپرس و دروپال ایجاد کرده اند، توصیه می شود که هرچه سریع تر وب گاه های خود را به روز رسانی کنند.
به گزارش دیداس گارد این دو سامانه ی مدیریت محتوی کشف شده است که مربوط به پیاده سازی XMLRPC می باشد و ممکن است مهاجم با سوء استفاده از این آسیب پذیری با استفاده از روشی به نام DDoS یا تخریب سرویس منجر به از کار افتادن وب گاه شود.

آخرین به روز رسانی وردپرس یعنی WordPress 3.9.2 آسیب پذیری با عنوان پردازش گر XML در PHP را وصله کرده است که در صورت سوء استفاده ممکن بود منجر به حملات تخریب سرویس شود و این آسیب پذیری در تمام نسخه های قبلی وردپرس موجود است.


آسیب پذیری XML اولین بار توسط Nir Goldshlager، محقق امنیتی از تیم امنیتی Salesforce.com گزارش شده، و در مورد هر دو سکوی وب گاه محبوب یعنی وردپرس و دروپال موجود است و این آسیب پذیری در آخرین نسخه های این دو محصول توسط Michael Adams و Andrew Nacin برای وردپرس و David Rothstein برای دروپال وصله شده است.
آسیب پذیری مذکور از حملات سایبری معروفی به نام حملات XML Quadratic Blowup استفاده می کند، زمانی که این حملات علیه یک وب گاه به کار گرفته می شود قابلیت از کار انداختن کامل وب گاه و یا حتی کارگزار میزبان وب گاه را برای مهاجم فراهم می کندو نوع حملات به صورت حملات تخریب سرویس توزیع شده نیست و تنها با یک ماشین حملات صورت می گیرد.

آسیب پذیری XML با در دست گرفتن تمام CPU و حافظه و باز کردن تعداد زیادی ارتباط باز با پایگاه داده منجر به از دست رس خارج شدن کارگزار وب گاه برای مدت زمان خاصی می شود و ممکن است در صورت حملات متوالی وب گاه به طور کامل از دست رس خارج شود.

این آسیب پذیری از آن جایی که وردپرس و دروپال توسط میلیون ها وب گاه استفاده می شوند و هم اینک روش سوء استفاده از آن به صورت عمومی منتشر شده است بسیار خطرناک است، به گزارش WC3 نزدیک به ٪۲۳ از کل وب گاه های موجود مبتنی بر سامانه ی مدیریت محتوای دروپال است و میلیون ها وب گاه از جمله بسیاری از وب گاه های دولتی داخل کشور مبتنی بر سامانه ی دروپال است.
وردپرس به علت کاربرپسند بودن و البته وجود نزدیک به ۳۰۰ هزار افزونه توسط کاربران زیادی مورد استفاده قرار گرفته است که غالباً توجهی به ارائه ی به روز رسانی ها و وصله ها ندارند و ممکن است به همین علت دچار حملات مذکور شوند.
نحوه ی سوء استفاده از آسیب پذیری چگونه است؟

همان طور که توضیح داده شد این آسیب پذیری با استفاده از حملات XML Quadratic Blowup صورت می گیرد، در این حملات یک پرونده ی کوچک XML منجر به از کار افتادن سرویس در کسری از ثانیه خواهد شد.

بررسی روال انجام حملات DDoS  به کمک سایت WordPress:

یک مهاجم می‌تواند تا زمانی که به صورت پنهانی در سایه است ازهزاران سایت پربازدید وردپرس برای انجام حملات DDoS خود  استفاده نماید و همه این اتفاقات به خاطر یک درخواست pingback ساده در فایل XML-RPC است. دستور ساده زیر در لینوکس می‌تواند شروع کننده این قبیل حملات باشد:

$ curl -D – “www.anywordpresssite.com/xmlrpc.php” -d ‘<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>’

برای بررسی حملات دیگر به سایت، می‌توان از طریق logهای سایت درخواست‌های post به فایل XML-RPC را بررسی نمود. اگر pingbackای به یک url تصادفی را مشاهده کردید، متوجه خواهید شد که سایت شما مورد سوء استفاده قرار گرفته است.

۹۳٫۱۷۴٫۹۳٫۷۲ – – [۰۹/Mar/2014:20:11:34 -0400] “POST /xmlrpc.php HTTP/1.0” 403 4034 “-” “-” “POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A <value>\x0A <string>http://fastbet99.com/?1698491=8940641</string>\x0A </value>\x0A </param>\x0A <param>\x0A <value>\x0A <string>yoursite.com</string>\x0A </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A”

۹۴٫۱۰۲٫۶۳٫۲۳۸ – – [۰۹/Mar/2014:23:21:01 -0400] “POST /xmlrpc.php HTTP/1.0” 403 4034 “-” “-” “POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A”

در موارد بالا، سعی در استفاده از honeypotهای فایروال جهت DDoS به  fastbet99.com و guttercleanerlondon.co.uk  شده‌است.

برای جلوگیری از سوء استفاده از سایت‌های وردپرس نیاز است تا تابع XML-RPC یا pingback غیرفعال شوند. روش بهتر جهت مسدود کردن این نوع حملات اضافه کردن یک plugin فیلترکننده به صورت زیر می‌باشد:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );

در حملات XML Quadratic Blowup یک پرونده ی XML با استفاده از یک ورودی بسیار بزرگ پر می شود و این ورودی شامل یک رشته ی بسیار بزرگ متشکل از هزاران نویسه است که بارها و بارها در پرونده ی XML تکرار می شود.
در این حملات، یک پرونده ی XML با اندازه ی متوسط نزدیک به ۲ کیلوبایت به علت رشته های طولانی درون آن نیاز به صدها مگابایت یا چندین گیگابایت حافظه دارد و همین مسئله منجر به در دست گرفتن تمام حافظه و تخریب سرویس دهی وب گاه می شود. اگر مهاجم رشته ی x متشکل از ۵۵هزار نویسه را ۵۵هزار بار در یک پرونده ی XML تکرار کند، یک پرونده ی XML با حجم ۲۰۰ کیلوبایت تولید می شود، زمانی که این پرونده در سامانه ی کارگزار وب گاه در حال اجرا باشد نزدیک به ۲٫۵ گیگابایت حافظه نیاز خواهد داشد.
آسیب پذیری مذکور در تمام نسخه های وردرپرس از نسخه ی ۳٫۵ تا ۳٫۹٫۱ و در تمام نسخه های دروپال نسخه های ۶ و ۷ وجود دارد و نیاز به تنظیمات خاصی نیست و در پیکربندی پیش فرض آسیب پذیری قابل سوء استفاده است.
هر دو سامانه ی مدیریت محتوا امروز به روز رسانی را منتشر کرده اند که آسیب پذیری مذکور را وصله می کند، به کاربران اکیداً توصیه می شود که به روز رسانی ها را برای وب گاه های خود دریافت کنند.

منتشر شده در اخبار

اولین باشید که نظر می دهید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *