HackedWordpressBlog

Há um tempo atrás conhecemos a possibilidade de fazer uma botnet com zumbis que utilizam wordpress, mais precisamente explorando uma falha do XMLRPC; tive a oportunidade de montar um laboratório com alguns amigos membros do grupo ASHACK (grupo que tive o prazer de fazer parte) e notar a eficiência do ataque, desenvolvemos juntos uma ferramenta em phyton multi thread, os resultados foram no mínimo interessantes e uma vez que o número de usuários wordpress é enorme tudo fica ainda mais interessante,  pois bem agora podemos nos aproveitar do XMLRPC em ataques de Brute force.

Tradicionalmente ataques de Brute force em sites wordpress tem como alvo o /wp-login.php, só que dessa vez o papo é com outro cara. Como sabemos o XML-RPC é um protocolo de chamada de procedimento remoto (RPC), e um dos métodos bem utilizado e que usufrui desse recurso nos dias de hoje é o wp.getUsersBlogs, que na maioria das suas implementações utiliza autenticação por usuário e senha, sem muito misterio durante a realização de um ataque de brute force, o atacante fornece o usuário e senha e caso esses dados estejam corretos isso será confirmado… e o desenrolar da história é o de sempre rsrs. Segundo a considerações realizadas pelo pessoal do sucurilabs o ataque de brute force via XMLCRPC é muito mais rápido e difícil de ser detectado, ainda segundo eles nas últimas quatro semanas os ataques têm aumentado em dez vezes, com quase 2 milhões de tentativas, foram detectados 17.000 diferentes IPs de origem de ataque. A utilização do OSSEC é uma boa opção para se prevenir este tipo de ataque.

Fica a dica galera, pretendo chamar os velhos amigos da ASHACK para alguns labs, se de fato rolar tempo o faremos e postarei os resultados, se caso alguns dos senhores tiverem resultados de algum lab ou considerações a serem feitas sintam-se à-vontade para comentar. Abrs

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima