Специалистами из Sucuri – компании, работающей в сфере информационной безопасности, – был зафиксирован существенный рост атак, в ходе которых хакерами для взлома аккаунтов на сайтах на базе WordPress применяется протокол XML-RPC. Чтобы повысить эффективность брутфорс-атаки, преступники пользуются методом system.multicall, позволяющим в данном случае перепробовать множество разнообразных комбинаций, используя один HTTP-запрос.
Обычно атаки, осуществляемые методом «грубой силы», могут быть достаточно легко отражены, поскольку подбор путем многократного обращения к странице регистрации по HTTP/HTTPS являетя слишком очевидным и в итоге быстро прерывается путем блокировки IP-адреса, с которого проводится кибернападение. Однако этот метод остается популярным. Часто атаки с его помощью могут быть успешными, так как многие пользователи используют ненадежные пароли.
Для того, чтобы атака привлекала меньше внимания, преступники стали применять протокол вызова удаленных процедур XML-RPC, который поддерживается многими популярными платформами по контент-менеджменту. Стоит отметить, что во всех версиях WordPress, начиная с 3.5, данная функция активирована по умолчанию.
В числе скрытых функций протокола присутствует возможность применения метода system.multicall, который позволяет выполнять несколько команд, используя один HTTP-запрос, чем смогли воспользоваться злоумышленники.
Как утверждает технический директор Sucuri Дэниэл Сид, первая атака подобного рода была обнаружена 10 сентября текущего года, с того момента наблюдается неуклонный рост количества попыток. Лишь за 7 октября экспертами было зафиксировано около 60 тысяч брутфорс-атак на WordPress с помощью XML-RPC и system.multicall.
Эксперт рекомендует пользователям WordPress заблокировать доступ к файлу xmlrpc.php, но лишь в случае, если он никаким образом не используется, а также фильтровать запросы к системе system.multicall на уровне Web Application Firewall.