10.07.2014 18:09

WordPress Pingback-Funktion für DDoS-Attacken missbraucht

Update 2014-07-10: An einer aktuellen Attacke gegen norwegische Seiten waren rund 80 österreichische WordPress-Blogs beteiligt - CERT.at benachrichtigt die Betreiber.
 

In den letzten Tagen gab es zahlreiche Medienberichte zu DDoS-Angriffen durch Missbrauch der XML-RPC-Pingback-Funktion von WordPress. Einige dieser Beiträge möchte ich, zur weiterführenden Lektüre für Betroffene und Interessierte, im Folgenden auflisten.

  • Blog Post von Daniel Cid vom Security-Dienstleister Sucuri mit Erklärungen zur Funktionsweise der Attacke. Weiters wird beschrieben, wie man in seinen Logs Hinweise auf Missbrauch der eigenen WordPress-Installation findet, und wie man die Pingback-Funktion deaktiviert.
  • Bericht von Brian Krebs über einen derartigen Angriff auf sein Blog. Darin veröffentlicht er eine Liste von WordPress-Sites, die an der Attacke beteiligt waren. Darunter befinden sich etwas über 100 österreichische Seiten - CERT.at hat die Betreiber benachrichtigt.
  • Analyse von Trustwave SpiderLabs, enthält u.a. auch Hinweise zur Erstellung entsprechender Regeln für Web Application Firewalls.
  • Artikel auf heise.
Dem WordPress-Team ist das Problem übrigens seit einiger Zeit bekannt - ein entsprechender Bug-Report wurde bereits vor sieben Jahren eingekippt. Mit einer baldigen Behebung ist eher nicht zu rechnen (vgl. dazu die Aussagen eines WordPress-Projektverantwortlichen in einem aktuellen Artikel auf PCWorld). Daher wird das Deaktivieren des Pingback-Features empfohlen, zumal einfach zu bedienende Tools zum Ausnützen der Schwachstelle verfügbar sind.

Meldungen zu derartigen Attacken können an reports@cert.at gerichtet werden.

Autor: Stephan Richter