Au cours des dernières semaines, nous avons constaté et bloqué une augmentation des attaques par force brute, bourrage d’informations d’identification et par dictionnaire ciblant le point de terminaison WordPress xmlrpc.php, dépassant parfois 150 millions d’attaques contre 1,9 million de sites sur une période de 24 heures. Ces attaques tentent de deviner le mot de passe d’un utilisateur autorisé sur un site, et certains de nos utilisateurs ont remarqué un phénomène étrange: les attaques par force brute avec le nom d’utilisateur et le mot de passe réglés sur «Aucun» ou «Aucun Aucun». Étant donné que ces requêtes sont ciblées sur xmlrpc.php, la modification de l’URL d’administration n’empêchera pas les attaquants d’envoyer ces requêtes.

Que se passe-t-il?

Étant donné que ces attaques tentent de se connecter avec des informations d’identification inhabituelles, des propriétaires de sites curieux nous ont demandé ce qui pourrait se passer. Nous avons déterminé que les attaquants génèrent des listes de domaines à attaquer avec les informations d’identification à tenter et qu’il y a probablement une faille dans le code de ce programme de génération de cible.

En plus d’examiner nos propres données d’attaque, nous avons pu trouver des journaux et des listes de domaines qui semblent avoir été utilisés par les scripts exécutant ces attaques.

Un fichier journal affichant une tentative xmlrpc avec NoneNone comme nom d'utilisateur et mot de passe

Ces listes de domaines semblent avoir été générées par programme et incluent une cible à attaquer, un nom d’utilisateur à tenter et un mot de passe à tenter. Dans les listes de domaines que nous avons trouvées, «NoneNone» était fréquemment utilisé comme nom d’utilisateur dans les cas où un vrai nom d’utilisateur était inconnu de l’attaquant. Dans certaines listes, cela était associé à un mot de passe absurde tel que «qwe123», tandis que dans d’autres, le mot de passe serait également défini sur «NoneNone».

Une liste expurgée des domaines à cibler, y compris le nom d'utilisateur NoneNone et le mot de passe qwe123

Il est probable que le script utilisé pour générer ces listes de domaines soit écrit en Python, un langage dont le type «Aucun» équivaut à «Null» dans d’autres langues, et qui est affiché comme «Aucun» lorsqu’il est converti en chaîne . En tant que tel, un script pour générer des listes de domaines à attaquer aurait pu définir les variables de nom d’utilisateur et de mot de passe sur les valeurs par défaut Aucun (ou concaténer plusieurs valeurs par défaut, résultant en «NoneNone») lorsqu’il était fourni avec des informations incomplètes.

Que devrais-je faire?

Si vous utilisez Wordfence, notre protection intégrée contre la force brute protégera votre site contre les attaques XML-RPC. Ceci est important car certaines de ces attaques essaieront de vrais noms d’utilisateur et mots de passe provenant de violations d’informations d’identification plutôt que de valeurs invalides. De plus, les sites exécutant Wordfence Premium bloqueront automatiquement toutes les demandes d’adresses IP qui ont attaqué d’autres sites de notre réseau grâce à notre liste de blocage IP en temps réel.

Pour une couche supplémentaire de protection, les utilisateurs gratuits et premium peuvent désactiver les tentatives d’authentification via les requêtes xmlrpc.php en accédant à Wordfence-> Sécurité de connexion-> Paramètres et en cliquant sur Désactivez l’authentification XML-RPC.

Un écran montrant le "Désactiver XML-RPC" configuration dans Wordfence Login Security

Veuillez noter que cela peut empêcher certains plugins qui reposent sur xmlrpc.php, tels que Jetpack, de fonctionner correctement.

Conclusion

Bien que nous ayons vu un très grand nombre de ces attaques, la grande majorité d’entre elles ne risquent pas de menacer des sites à moins que l’administrateur du site n’utilise des informations d’identification qui ont été compromises. Néanmoins, cela montre que les scripts utilisés pour le piratage peuvent avoir des bogues et un comportement inattendu comme tout autre logiciel.

Les sites exécutant la version gratuite de Wordfence sont protégés par notre protection intégrée contre la force brute, et les sites exécutant Wordfence Premium sont en outre protégés par la liste de blocage IP en temps réel. Les utilisateurs Wordfence gratuits et premium peuvent désactiver l’authentification XML-RPC pour une protection complète contre les attaques contre ce point de terminaison.


Source link