I ricercatori hanno identificato una vasta campagna di attacchi brute force contro i siti web di WordPress.
I siti WordPress vengono presi di mira in una serie di attacchi legati a un esercito di siti Web WordPress infettati da 20.000 botnet. Dietro all’assalto WordPress-on-WordPress c’è un diffuso attacco di password a forza bruta sfruttato da un provider di proxy russo e mirato a un’interfaccia API (Application Program Interface) dello sviluppatore.
Gli attacchi, identificati per la prima volta dal Defiant Threat Intelligence Team e segnalati da Wordfence mercoledì, utilizzavano quattro server Command-and-Control (C2) che a loro volta inviavano richieste a oltre 14.000 server proxy collegati a un’azienda russa chiamata Best Proxies, secondo alla Wordfence.
“[Gli attackers] usano questi proxy per rendere anonimo il traffico C2. Le richieste passano attraverso i server proxy e vengono inviate a oltre 20.000 siti WordPress infetti. Questi siti stanno eseguendo uno script di attacco che attacca i siti di WordPress mirati “, ha scritto Mikey Veenstra, un ricercatore di sicurezza web di Wordfence, in un post.
Secondo Veenstra, i siti infetti di WordPress e i siti C2 che li controllano sono ancora online e potrebbero essere sfruttati da altri avversari. Ha detto che Wordfence e Defiant stanno lavorando con le forze dell’ordine per proteggere le risorse vulnerabili.
Specificamente mirato negli attacchi è l’interfaccia XML-RPC di WordPress (/xmlrpc.php). XML-RPC è un’API utilizzata dagli sviluppatori di app per dispositivi mobili Android e iOS per collegare app a siti Web WordPress.
“Questi attacchi sono stati lanciati da script maligni collocati su altri siti WordPress, che hanno ricevuto istruzioni da una botnet con una sofisticata catena di attacco”, ha affermato il ricercatore.
Tale catena di attacco inizia con lo script canaglia che ha automatizzato i tentativi di accedere all’interfaccia XML-RPC utilizzando nomi utente e password comuni.
“Le liste di parole associate a questa campagna contengono piccole serie di password molto comuni. Tuttavia, lo script include funzionalità per generare dinamicamente password appropriate basate su modelli comuni [password] “, hanno detto i ricercatori. “Se lo script della forza bruta stava tentando di accedere a esempio.com come utente, genererà password come esempio, alice1, alice2018 e così via. Anche se è improbabile che questa tattica abbia successo su un dato sito, può essere molto efficace se usata su larga scala attraverso un gran numero di obiettivi. “
Veenstra ha detto che WordPress è stato spostato per limitare gli script (e le persone) dall’individuazione sistematica delle password dell’interfaccia XML-RPC nel 2015. Il suggerimento del passaggio è stato un attacco simile a password brute-force lanciato contro l’API. Con il lancio di WordPress 4.4 (pubblicato nel 2015) gli attaccanti sono stati ostacolati. Ma la patch è stata rilasciata “tranquillamente” e non è stata divulgata nella documentazione del numero di versione, ha affermato.
“Anche se un sito è sull’ultima versione di sicurezza di un ramo WordPress da 4.3 e precedenti, può essere vulnerabile a questo metodo di attacco”, ha detto il ricercatore.
Per questo motivo, gli hacker utilizzano lo script per identificare le versioni vulnerabili di WordPress mature per il target.
I ricercatori di Wordfence hanno affermato di essere in grado di catturare le richieste inviate da tre dei quattro server C2 che hanno ulteriormente rivelato la catena di attacco.
“[Normalmente sarebbe] molto difficile rintracciare i server C2 centrali dietro a tutto. Siamo stati fortunati, tuttavia, che l’aggressore abbia commesso alcuni errori nella loro implementazione degli script di forza bruta “, ha detto Wordfence. “Dal momento che gli script fanno uso di elenchi di parole memorizzati nello stesso sito WordPress infetto, includono funzionalità per rigenerare queste liste di parole, se necessario.”
I ricercatori hanno affermato che in alcuni casi gli script dell’attaccante non contenevano elenchi di parole, da utilizzare negli attacchi con password brute-force. In tale scenario, il wordlist verrebbe scaricato dal server C2. Il download ha aiutato i ricercatori a identificare i protocolli Internet di C2 e, successivamente, la schermata di accesso è stata facilmente individuabile.
Utilizzando altri strumenti, come lo strumento di sicurezza delle app Burp Suite, i ricercatori sono stati in grado di aggirare le tecniche anti-mitigazione utilizzate dagli aggressori, come i reindirizzamenti di accesso, e di esplorare l’interfaccia dell’applicazione C2.
“All’interno dell’interfaccia c’era una serie di funzionalità, inclusa la possibilità di accedere a un elenco di” slave “, che si riferivano ai siti WordPress infetti contenenti script di forza bruta”, ha affermato. Da lì i ricercatori sono stati in grado di collegare i punti tra la relazione tra server, server proxy e siti “slave”.
“Ogni server conteneva un file nel suo webroot denominato proxy.txt. Questo file contiene un elenco di quasi diecimila indirizzi proxy SOCKS, con indirizzi IP e porte. Questi indirizzi IP coincidevano con i server proxy identificati in precedenza, suggerendo che C2 utilizza questo file per selezionare casualmente un proxy durante l’emissione di ciascun attacco. Abbiamo identificato 14,807 server proxy “, hanno scritto i ricercatori.
Wordfence esorta gli utenti ad aggiornare a WordPress 4.4 e implementare restrizioni e blocchi per accessi non riusciti.
Vedi articolo originale.
