Az Incapsula biztonsági cég még tavaly nyáron arra lett figyelmes, hogy a WordPress pingback funkcionalitását kihasználva arra "vettek rá" teljesen vétlen, normális honlapokat, hogy weboldalakat, szolgáltatásokat bénítsanak meg. Akkor a cég egyik ügyfelének hálózata ellen ötvenezer támadó szállt harcba, majd rövid időn belül összesen 8 millió oldalletöltést generáltak, és ezzel megbénították az adott vállalat webes rendszerét. Az ilyen jellegű támadások nem egyediek, és maga a módszer sem számít új keletű jelenségnek, de úgy tűnik, hogy a kiberbűnözők még nem unták meg a használatát. A napokban ugyanis a Sucuri webbiztonsági cég figyelt fel egy újabb, pingback alapú támadásra.

160 ezer, bizony, dalolva ment

Ezúttal - a korábbinál is nagyobb szabású illegális hadműveletben - több mint 160 ezer WordPress alapú weboldalt kényszerítettek egy meg nem nevezett, de népszerű weboldal elleni támadásra. A célpont felé másodpercenként több száz hálózati kérést generáltak, amivel azt több órára elérhetetlenné tették.

A Sucuri műszaki igazgatója szerint a támadók a WordPress XML-RPC implementációjában rejlő lehetőségeket fordították a saját javukra, aminek a következménye egy kiterjedt, elosztott szolgáltatásmegtagadási támadás lett. „Bármelyik WordPress oldal, amelyen engedélyezett az XML-RPC funkcionalitás, bevonható DDoS-támadásokba, és ezáltal más weboldalak megbénításába” - állítja a szakértő.

A pingback és az egyéb alkalmazásszintű DDoS-módszerek révén jóval kisebb sávszélesség-felhasználás mellett is térdre kényszeríthetők webes rendszerek, amit a legutóbbi támadás is igazolt. Ugyanakkor fontos megjegyezni, hogy a legtöbb webes alkalmazás, tűzfal képes detektálni és blokkolni az ilyen jellegű támadásokat.

Régi sztori

A WordPress hibalistáján már 2007-ben feltűnt a pingback DDoS-kockázata, és a fejlesztők azóta is folyamatosan küzdenek a problémával. Az évek során több hibajavítás is született, de teljes mértékben nem sikerült megszüntetni a gondot. Az XML-RPC letiltása ugyan lehetséges, de mivel számos fontos szolgáltatás esetében használatos, ezért a kikapcsolása jelentős funkcióvesztést okozhat a weboldalak esetében.

A WordPress fejlesztőcsapata jelenleg is vizsgálja azokat a lehetőségeket, amelyek révén úgy válhat minimalizálhatóvá a probléma, hogy közben a pingback funkció elérhető marad. Ugyanakkor Matt Mullenweg, a WordPress projektvezetője úgy vélte, hogy a pingback nem jelent akkora kockázatot, mint az elsőre látszik. Legalábbis nagyon jelentős (2 Gbps-nál nagyobb sávszélességet felemésztő) támadások esetében nem kap szerepet, mivel a webhosting szolgáltatók, valamint az anti-spam megoldások is szűrik az ilyen adatforgalmat. A szakember véleménye szerint a támadók egyszerűbb, kevésbé költséges technikák közül is válogathatnak, ha egy weboldalt akarnak elérhetetlenné tenni.