WordPress-websites massaal misbruikt voor DDoS-aanval met pingbacks
Een functionaliteit in WordPress waarmee zogeheten 'pingbacks' kunnen worden verstuurd, kan misbruikt worden om DDoS-aanvallen uit te voeren. Dat meldt Tweakers vandaag op basis van een bericht van Sucuri Research Labs, een IT-beveiligingsbedrijf dat door een getroffen website werd benaderd.
Geheel nieuw is deze ontdekking echter niet: zeven jaar geleden werd de mogelijkheid al eens gemeld door een WordPress-ontwikkelaar, en vorig jaar besteedde Incapsula hier reeds aandacht aan.
Met behulp van 'pingbacks' kunnen WordPress-gebruikers automatisch andere weblogs op de hoogte stellen van het feit dat er in een nieuw blogbericht naar ze wordt verwezen. Die weblogs zullen dat vervolgens, eveneens geautomatiseerd, controleren door de betreffende pagina te bezoeken.
Nu blijkt weer dat deze functionaliteit op grote schaal misbruikt kan worden door vele duizenden WordPress-installaties — in dit geval ruim 162,000 — te laten denken dat ze een pingback kregen van een bepaalde website, het doelwit van de DDoS-aanval. Dat resulteerde in evenveel geautomatiseerde pingback-controles, waardoor de server vele honderden verzoeken per seconde moest verwerken, en al snel overbelast raakte.
Niet elke WordPress-website maakt gebruik van deze pingback-functionaliteit. Sucuri heeft een WordPress DDoS-scanner ontwikkeld die kan controleren of een installatie vatbaar is voor misbruik.
De 'kwetsbaarheid' zal door WordPress waarschijnlijk niet aangepakt worden, omdat de xml-rpc-standaard, waar pingbacks een onderdeel van zijn, nu eenmaal zo ontworpen is, en voornamelijk positieve eigenschappen heeft. WordPress-gebruikers kunnen er wel voor kiezen om specifiek de pingback-functionaliteit uit te schakelen, vanuit het administratiepaneel of met behulp van een plug-in.
Welke website ditmaal het doelwit was van de DDoS-aanval, is niet bekendgemaakt.
Reacties (0)
Er zijn nog geen reacties geplaatst.
Reageren
Reacties worden direct gepubliceerd. We vertrouwen er dan ook op dat je reactie relevant is, geen reclame-uitingen bevat, en de algemeen geldende fatsoensregels niet overschrijdt. Je e-mailadres wordt niet gepubliceerd.
Op dit weblog schrijven we regelmatig over nieuws en trends rondom (web)hosting, website-ontwikkeling en technologie.
- Juni 2014 (2)
- Mei 2014 (8)
- April 2014 (8)
- Maart 2014 (14)
We verwelkomen bijdragen van gast-auteurs. Heb je een voorstel? Neem dan vrijblijvend contact met ons op.