DDoS-Attacke über 162.000 WordPress-Sites gestartet

Die Sicherheitsfirma Sucuri hat über eine DDos-Attacke berichtet, bei der zur Verstärkung mehr als 162.000 WordPress-Sites eingesetzt wurden. Auch der Angriff galt einer reichweitenstarken WordPress-Website, die daraufhin viele Stunden nicht mehr erreichbar war. Die verwendete Technik könnte es einem einzigen Angreifer mit bescheidenen Mitteln erlaubt haben, eine solche Wirkung zu erzielen.

Die für den Angriff benutzten Websites bekamen davon regelmäßig gar nichts mit. Ausgenutzt wurde das Protokoll XML-RPC, das bei WordPress für Pingbacks, Trackbacks, den Fernzugriff über Mobilgeräte und mehr dient. Da das Content-Management- und Blog-System Pingbacks standardmäßig zulässt, konnten viele reguläre WordPress-Sites mit eingespannt werden – indem sie gleichzeitige Anfragen an das Angriffsziel schickten.

Innerhalb weniger Stunden wurden Anfragen von über 162.000 verschiedenen und legitimen Sites gezählt. Den Sicherheitsexperten zufolge wären es noch weit mehr geworden, hätten sie nicht alle weiteren durch einen Firewall blockiert. „Können Sie sehen, wie mächtig das ist?“ schreibt Daniel Cid von Sucuri in einem Blogeintrag. „Ein Angreifer kann tausende beliebter und sauberer WordPress-Sites benutzen, um eine DDoS-Attacke durchzuführen, während er im Schatten verborgen bleibt und all das mit einer einfachen Pingback-Angfrage an die XML-RPC-Datei geschieht.“ Tatsächlich genüge eine einfache Befehlszeile unter Linux, um den kompletten Angriff zu starten.

Die Mitwirkung bei einem solchen Angriff lässt sich laut Cid vermeiden, indem die Pingback-Funktionalität deaktiviert wird. Alternativ kommt dafür ein Plug-in infrage, das einen Filter hinzufügt. Ein Patch durch die WordPress-Entwickler sei hingegen nicht zu erwarten, da es sich um eine für verschiedenste Zwecke benötigte Funktionalität handelt und diese auch von vielen Plug-ins vorausgesetzt wird.

Durch die Mitwirkung von „arglosen WordPress-Sites als indirekten Verstärkungsvektoren“ wurden hunderte Anfragen pro Sekunde erzeugt. Das erscheint freilich noch relativ gering im Vergleich zu einem Rekord-DDoS-Angriff in Europa, bei dem CloudFlare im letzten Monat 400 GBit/s verzeichnete. Bei dieser Attacke wurde mit einer möglichen Verstärkung um den Faktor 500 das NTP-Protokoll benutzt, das dem Zeitabgleich im Internet dient, Zuvor war bereits mit DNS-Amplification-Attacken eine 20- bis 50-fache Verstärkung möglich. DDoS-Angreifer streben offensichtlich mit ungebremstem Erfindungsreichtum nach immer neuen Wegen, ihre Attacken zu verstärken.

[mit Material von Dara Kerr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.