11/10/2015
11/10/2015

Tấn công dò mật khẩu nhắm tới hàng nghìn trang blog dùng nền tảng WordPress

Tấn công dò mật khẩu nhắm tới hàng nghìn trang blog dùng nền tảng WordPress. Trước đây, chúng ta đã từng nhắc đến các lỗ hổng liên quan tới plugin của WordPress, lần này các...
Trước đây, chúng ta đã từng nhắc đến các lỗ hổng liên quan tới plugin của WordPress, lần này các chuyên gia phát hiện cơ chế tấn công dò mật khẩu (Brute Force) dựa trên nền tảng CMS phổ biến này.

Tấn công dò mật khẩu nhắm tới hàng nghìn trang blog dùng nền tảng WordPress

Các chuyên gia Sucuri phát hiện cách thức thực hiện tấn công Brute Force qua khai thác tính năng XML-RPC tích hợp trên WordPress, cho phép tin tặc lấy cắp thông tin quản trị.

XML-RPC là một trong những giao thức đơn giản nhất để trao đổi dữ liệu an toàn giữa các máy tính qua Internet. Giao thức này sử dụng phương thức system.multicall, cho phép một ứng dụng thực hiện nhiều lệnh trong một truy vấn HTTP.

Một số nền tảng quản trị nội dung như WordPress và Drupal hỗ trợ XML-RPC.

Tuy nhiên…

Phương thức system.multicall có thể bị lợi dụng để thực hiện các cuộc tấn công Brute Force qua việc thử hàng trăm mật khẩu trong chỉ một truy vấn HTTP mà không bị hệ thống phát hiện.

Tấn công Brute Force khuếch đại

Điều này nghĩa là thay vì thử hàng nghìn cặp tên username và mật khẩu thông qua trang đăng nhập (dễ dàng bị chặn IP), tin tặc có thể sử dụng giao thức RPC kết hợp với phương thức system.multicall để:

- Không bị phát hiện bởi tính năng chặn Brute Force

- Thử hàng trăm nghìn cặp username và mật khẩu trong chỉ vài truy vấn XML-RPC

Với chỉ 3 hoặc 4 truy vấn HTTP, tin tặc có thể thử hàng nghìn mật khẩu, qua mặt công cụ an ninh được thiết kế đểm tìm kiếm, chặn các cuộc tấn công dò mật khẩu.

Cuộc tấn công đầu tiên theo dạng này được các chuyên gia phát hiện vào tháng trước. Đến đầu tháng này, số lượt thử username và mật khẩu đạt khoảng 60.000 lần mỗi ngày.

Cách thức ngăn chặn

Nếu bạn không dùng bất kỳ plug-in nào sử dụng tập tin xmlrpc.php, hãy đặt tên lại hoặc xóa nó đi. Trong trường hợp bạn đang sử dụng plugin như JetPack, việc chặn xmlrpc.php có thể dẫn đến lỗi một số tính năng trên website.

Do đó, quản trị web có thể chặn truy vấn system.multicall XML-RPC sử dụng WAF (tường lửa ứng dụng web). Điều này sẽ bảo vệ bạn không bị tấn công dò mật khẩu.

Nguồn: The Hacker News

Nguồn: Go.vn

 
loading...