Una funzionalità di WordPress permette di lanciare attacchi DDoS

0

wordpress-logo

Una delle funzionalità base di WordPress, popolare framework PHP per la costruzione di siti web e blog, permette a chi la sfrutta in modo malevolo di condurre attacchi DDoS (distribute denial of service), oscurando quindi un sito web generando un numero di richiete superiore a quello servibile. La notizia è confermata da fonti molteplici, tra cui Todd Redfoot, capo della sicurezza informatica di GoDaddy: “abbiamo visto un incremento di attacci diretti ai siti costruiti con WordPress a partire dallo scorso venredì”.

La vulnerabilità è contenuta nella funzionalità di “pingback”: quando un post di un blog A viene linkato in un altro blog B, A riceve un “pingback” ovvero un commento contenente il riferimento al blog B (la funzionalità di pingback deve essere abilitata sul blog A). Questa interazione tra i blog di WordPress è implementata usando il protocollo XML-RPC che permette di incapsulare chiamate RPC in XML scambiati via HTTP. Secondo la compagnia di sicurezza Sucuri, durante la giornata di ieri 162.000 siti in WordPress stavano lavorando a un DDoS, mentre il ricercatore Brian Krebs ha twittato di essere stato attaccato da 41.000 siti in WordPress già una settimana fa. Al momento non esiste una patch e anche l’ultima versione di WordPress (3.8.1) è affetta: per mitigare il rischio di essere usati come piattaforma per attacchi DDoS, l’unica soluzione è, al momento, disabilitare la funzionalità di pingback; in verità non si tratta di un vero e proprio bug, in quanto WordPress funziona correttamente come atteso, ma facendogli generare un volume di traffico elevato si raggiunge il risultato di un denial fo service. Presto vedremo le reazioni del team di sviluppo di WordPress.