Gli utenti di WordPress si trovano ad affrontare un’altra preoccupazione per la loro sicurezza in seguito alla scoperta di una massiccia botnet. Gli hacker hanno infettato 20.000 siti WordPress con un’azione di brute force grazie alla quale hanno ottenuto i nomi utente e le password dell’amministratore. Ora stanno usando quei siti per infettare altre installazioni WordPress.
La botnet infetta i siti utilizzando una funzionalità nota come XML-RPC. Si tratta di un’interfaccia che consente a un pezzo di software di effettuare richieste a un altro inviando chiamate di procedure remote (RPC) scritte nell’estensibile linguaggio di markup (XML).
I programmi di blogging legittimi utilizzano questa funzione per inviare contenuti blog a siti WordPress da formattare e pubblicare. Gli aggressori possono anche usarla per provare più password e poi manipolare un sito se ne ottengono l’accesso.
Gli aggressori hanno redatto uno script che lancia un attacco di brute force basato su XML-RPC, generando automaticamente una gamma di nomi utente e password nella speranza che uno di essi funzioni e consenta loro l’accesso a un account privilegiato. A quel punto, possono usare quell’account per infettare quel sito con il software di botnet.
Il meccanismo di creazione della password accetta elenchi di nomi utente insieme a liste di password comuni e utilizza semplici algoritmi per creare nuove combinazioni di password dai nomi utente. Quindi potrebbe provare il nome utente “alice” con password come alice123, alice2018 e così via. Potrebbe non essere molto efficace su un singolo sito, ma se utilizzato in molti siti, le probabilità di successo degli hacker aumentano.
Come qualsiasi botnet, i siti infetti prendono istruzioni dagli herder del bot tramite un server C2 (command and control). In questo caso, tuttavia, l’infrastruttura C2 è relativamente sofisticata. Gli aggressori inviano le loro istruzioni ai siti infetti da uno dei quattro server C2 che comunicano tramite server proxy, scelti da una grande lista russa. Tre dei server C2 sono ospitati da HostSailor, di cui il giornalista di cybersecurity Brian Krebs ha parlato in passato.
Mentre i server C2 presentavano una schermata di accesso, Wordfence scopriva che in realtà non richiedevano l’autenticazione e che era in grado di visualizzare i dettagli delle macchine slave infette, insieme agli elenchi dei proxy utilizzati per accedervi.
In che modo i proprietari dei siti possono proteggersi da questo tipo di attacco brute force? Aziende come Wordfence utilizzano tecniche anti-brute force per limitare il numero di tentativi di accesso e bloccare gli aggressori dopo troppe password errate.
Gli hacker potrebbero tentare di aggirare queste tecniche cambiando proxy e/o stringhe di user-agent ad ogni richiesta, ma questi prodotti possono anche fermarli bloccando l’accesso da fonti malevole o infette conosciute usando blacklist in tempo reale.
Questi sono tutti i livelli di sicurezza extra che bisogna avere, ma un modo più semplice ed efficace per impedire a qualcuno di forzare il tuo account è di usare una password sicura e tenerla al sicuro in un gestore di password. Anche usare un nome utente strano che non si trova su un normale elenco di nomi è una buona idea. Rende quasi impossibile indovinare le credenziali dell’utente. Completate il tutto con l’autenticazione a più fattori, preferibilmente utilizzando un’app di autenticazione mobile dedicata piuttosto che un’autorizzazione SMS, per una protezione extra.
Un’altra misura di sicurezza efficace consiste nel limitare l’accesso dell’account amministrativo a specifici indirizzi IP o ai client con certificati digitali specifici. È anche buona norma mantenere l’installazione di WordPress aggiornata il più possibile.
Al momento, gli aggressori sembrano essere in modalità “creazione di botnet”, facendo aumentare il numero di siti WordPress sotto il loro controllo. Cosa faranno con questi siti infetti? È difficile dirlo, ma un passato sondaggio di Wordfence suggerisce che l’invio di spam, l’hosting di pagine di phishing e l’avvio di reindirizzamenti malevoli sono tra gli attacchi WordPress più popolari.
Se si dispone di un sito WordPress, sarebbe opportuno verificare i log di audit per rilevare eventuali attività sospette, verificare la sicurezza della password e attivare l’autenticazione a più fattori (MFA o 2FA).
*Tratto dall’articolo Massive botnet chews through 20,000 WordPress sites sul blog Sophos Naked Security