162 000 sites web forment un large botnet responsable d'une attaque DDOS
WordPress et les Pingbacks figurent sur le banc des accusés
162 000 sites web basés sur WordPress ont formé un botnet responsable d’une large attaque de type dénis de service distribué (DDOS) vers une cible dont le nom n’a pas été dévoilé, provoquant son interruption pendant plusieurs heures. Cette information a été révélée par Daniel Cid, directeur technique de la firme experte en sécurité Sucuri.
L’attaque serait due à l’activation par défaut de la fonctionnalité Pingback sous des versions ultérieures à la version 3.5.1 du CMS. Ainsi tout site web tournant sous WordPress et correspondant aux critères cités précédemment (version <3.5.1 et activation des Pingbacks) est susceptible d’avoir participé à son insu à cette attaque de large envergure, en bombardant la cible de requêtes HTTP.
Pour rappel, le Pingback est une fonctionnalité permettant de notifier à un site distant que l’une de ses pages (ou articles surtout dans le cas des blogs) est référencée sur un site appelant grâce à des requêtes HTTP et au protocole XML-RPC.
Ce qui semble le plus déconcertant est la facilité de lancer une telle attaque, via une simple commande Linux comme le montre Daniel Cid :
curl -D - "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
Selon un autre expert en sécurité, Sean Power de DOSarrest, ce type de vulnérabilités serait connu depuis 2007 et WordPress a fixé cette faille depuis la version 3.5.1 qui a été publiée il y a plus d’une année (janvier 2013). Il s’agit donc plus vraisemblablement d’anciennes versions qui n’ont pas été mises à jour.
Enfin, Sucuri a mis à la disposition des utilisateurs un portail web, pour détecter si leur site web a été détourné et figure parmi les 162.000 sites web concernés. De plus, la firme de sécurité conseille de passer à une version plus récente du CMS ou bien de désactiver les PingBacks.
Source : blog de Sucuri
Et vous ?
Quelle version de WordPress utilisez-vous ? Appliquez-vous les mises à jour lorsqu’une nouvelle version de l'outil est disponible ?
Partager