Il Bug Pingback in WordPress può essere sfruttato per attacchi DDoS e riconfigurazioni di Router

da Bitdefender Security Specialists, att. 10 June 2013

Un bug conosciuto sin dal 2007 della popolare piattaforma di pubblicazione WordPress è tornato e pare che i ciber criminali ne possano aprofittare, secondo un un blog post dello specialista in vulnerabilità Accunetix.

Come tutte le principali piattaforme di pubblicazione, WordPress ha una caratteristica di  pingback che notifica il proprietario del blog ogni volta che un altro sito web linka ad una pagina del blog stesso, con i dettagli di chi e quando. Questa caratteristica è utilizzata da milioni di bloggers in tutto il mondo, ma può essere facilmente utilizzata in uno strumento per scoprire computers in un network o per orchestrare un attacco del tipo DDoS contro un target specifico.

L’API XML RPC di WordPress si trova nel file xmlrpc.php che è di default in WordPress. Secondo Bogdan Calin di Accunetix’s, un utente con intenzioni pericolose può imitare un pingback verso uno specific blog per inviare un commando che riesce a entrare nel network interno dove l’host (il computer chef a funzionare il software del blog) risiede, e riconfigurare il router nel network dell’host o semplicemente distruggere il computer stesso.

In poche parole: se il blog-vittima riceve un pingback formato male che sembra essere ad esempio un blog ospitato su http://subversion/ o  http://bugzilla/ o http://dev/ linkato ad una pagina del blog-vittima, WordPress cercherà di risolvere l’indirizzo delal URL. Se la risposta fallisce, l’host non esiste. Se va a buon fine, mostra la URL inviata dall’attaccante sotto la sezione dei commenti assieme al numero di Port specificato nella URL, sotto forma di pingback o di trackback, in modo che la risorsa sembri valida.

Secondo Calin, “Questo sistema può essere utilizzato anche per attacchi di distribuzione DOS (Denial of Service).Un hacker può contattare un vasto numero di blogs e chiedere di fare pingback ad una URL target. E tutti i blogs attaccheranno questa URL”.

E per concludere, l’hacker può imitare il link di pingback e farlo apparire come hxxp://admin:[email protected]/changeDNS.asp?newDNS=x.x.x.x per obbligare un router configurator male ad utilizzare un diverso nome di server del dominio che possa risolvere a fini illegali hostnames (che è perfetto per attacchi di phishing o per distribuire malware). Dato che il blog-vittima è sullo stesso network del router, il commando è eseguito dietro il firewall, quindi non c’è niente che lo possa filtrare.

 WordPress è utilizzato dal circa il 17.5% di tutti i siti web su Internet in una moltitudine di set ups e configurazioni differenti. Fino a che questo problema viene risolto (ammesso che succeda), raccomandiamo di disabilitare le funzionalità di pingback e trackback per il vostro blog a meno che non abbiate un account di hosting professionale e di livello commercial. Specialmente considerando che un esempio di come farlo è già da qualche parte su Internet.

Bitdefender Security Specialists

Bitdefender Labs