162 000 сайтов на Wordpress стали жертвами атаки

Пользователи популярной системы управления контентом Wordpress получили проблему, связанную с багом в продукте. При помощи бага потенциальные атакующие могут организовывать крупномасштабные DDoS-атаки. По данным секьюрити-компании Sucuri, в интернете уже около 162 000 сайтов были вовлечены в атаки из-за указанного бага. Как рассказали в компании, баг позволяет вынудить CMS начать отправлять сотни пакетов в секунду по заданному адресу, что приводит к блокированию доступа к ресурсу.

Атака опирается на проблему в XML-RPC (XML remote procedure call) в Wordpress. XML-RPC используется для служебного, сервисного или мобильного доступа к платформе. В Sucuri говорят, что сама по себе архитектура XML-RPC содержит ряд фундаментальных проблем и с 2007 года здесь уже не единожды обрнаруживались проблемы подобного рода. Дэниель Сид, технический директор Sucuri, говорит, что по умолчанию XML-RPC используется в современных версиях Wordpress и этот же инструмент позволяет организовать DDoS-атаку, сообщает cybersecurity.ru.

Сид говорит, что большая часть Wordpress-сайтов использует систему кеширования в работе - то есть сервер не генерирует каждый раз с нуля веб-страницы для каждого клиента, а предлагает им кеш. Таким образом, XML-RPC вызывается не всегда, а лишь периодически, что несколько снижает градус опасности, но не ликвидирует его как таковой.