WordPress-Blogs für DDoS-Angriffe missbraucht

  • 12. März 2014
  • 3 min Lesezeit

wordpress-blogDas hier dürfte die Blogger unter uns interessieren: Die beliebte WordPress-Pingback-Funktion lässt sich für DDOS-Angriffe ausnutzen.  Diesen Montag veröffentlichte das im Bereich der Internetsicherheit tätige Unternehmen Sucuri einen Artikel in seinem Blog, in dem die technischen Details eines DoS-Angriffs auf einen Kunden dargelegt wurden, der eine beliebte WordPress-Website betreibt.  Nachforschungen ergaben, dass die Website durch „162.000 verschiedene, legitime WordPress-Websites“ in die Knie gezwungen worden war.

Was ist ein „DDoS-Angriff“?

Beim Besuch einer Website senden Sie mit Ihrem Computer im Grunde Anfragen nach Datenpaketen an einen anderen Computer.  Der Computer, der Ihnen diese angefragten Datenpakete liefert, heißt Server.  Im Grunde geht ein Distributed-Denial-of-Service-Angriff (DDoS) folgendermaßen vonstatten: ein Server erhält mehr Anfragen, als er verarbeiten kann, bis er überlastet ist und zusammenbricht.

Anders kann man sich einen DDOS-Angriff wie einen überforderten Kellner in einem Restaurant vorstellen.  Für die meisten Kellner ist es ein Leichtes, mehrere Tische auf einmal zu bedienen; ab einem gewissen Punkt, also zu vielen Kunden und zu vielen Bestellungen streicht ein jeder doch irgendwann einmal die Segel.  Genau wie ein menschliches Gehirn kann ein Computer nur eine maximale Anzahl von Aufgaben auf einmal bewältigen.   Bei DDoS-Angriffen macht man sich willentlich diese Begrenzung zum Lahmlegen von Servern zunutze und setzt so die Websites außer Betrieb, die auf diesen gehostet werden.  Dies kann sich als äußerst problematisch für Betreiber großer Websites erweisen, die im eCommerce tätig sind, da jede Minute, die ihre Website nicht funktioniert, einer Minute entspricht, in der sie Umsatz hätten machen können.

Die Sicherheitslücke in WordPress

Bei dem DDoS-Angriff, von dem Sucuri berichtete, machte man sich sich die Sicherheitslücke CVE-2013-0235 in WordPress zu Nutze, auf die man zuerst im Juli 2013 stieß.  Normalerweise können Blogger durch WordPress-Pingbacks Kreuzreferenzen zwischen Websites erzeugen.  Durch diese Kreuzreferenzen können Blogger Ehre erweisen, wem Ehre gebührt, und nachverfolgen, wer auf ihre eigene Website verweist.  Dazu ist Kommunikation zwischen den Servern vonnöten, welche jede beteiligte Website hosten, und Übertragung von Datenpaketen.  Durch CVE-2013-0235 kann ein Angreifer gefälschte Pingbacks von einer Website zu einer anderen erstellen.   Das heißt, dass Website A aus der Ferne dazu angeleitet werden kann, einen Ping an Website B für ein Datenpaket zu senden.  Die Websites C-Z, die ebenfalls ferngesteuert werden, tun es Website A gleich, und mit einem Mal erhält Website B eine Unmenge von Anfragen.  Weisen Sie mehr als 100.000 Websites an, ebenfalls Anfragen zu senden, und schon streckt Website B die Waffen.

So kann man gefälschte Pingbacks verhindern

Das Problem bei WordPress-Pingbacks liegt in ihrem fehlerhaften Design.  In der Tat wussten Webentwickler seit Jahren, dass XML-RPC – die Technologie, welche Pingbacks ermöglicht – für DDoS-Angriffe anfällig ist.  Daher findet derzeit eine Debatte darüber statt, wie dieses Problem zu lösen ist.

Eine mögliche Lösung, die Sucuri anführt, bestünde darin, XML-RPC durch Einfügen von Code in die Designdatei Ihrer WordPress-Website gänzlich abzuschalten.  Dies funktioniert zwar direkt, aber viele Entwickler haben zu bedenken gegeben, dass dies ebenso die Möglichkeit, Kreuzreferenzen zu setzen, für den Blog vollkommen ausschaltet, wo diese Funktion doch für viele geschäftlich genutzte Websites ein grundlegendes Marketinginstrument darstellt.  Zahlreiche Personen, darunter WordPress-Gründer Matt Mullenweg selbst, haben auch darauf hingewiesen, dass „es günstigere, einfachere und effiziente Mittel gibt, um Seiten mit DDoS anzugreifen“, und, dass die Vorteile von Pingbacks deren Nachteile bei weitem überwiegen.

Die gute Nachricht: WordPress ist ein vielseitiges Content-Management-System (CMS), und CVE-2013-0235 – wie die meisten anderen Bugs – lässt  sich gewöhnlich durch maßgeschneiderte Workarounds versierter Entwickler beheben.  Dementsprechend möge jeder, der Fragen oder Bedenken zu dieser Sicherheitslücke hat, gerne unten einen Kommentar hinterlassen, da dieser Blog eben auf WordPress gehostet und von einem talentierten Team geführt wird.  Die Debatte um XML-RPC geht sicherlich weiter und wird offiziell „als noch nicht gelöst“ betrachtet, aber falls Sie eine Website mit WordPress betreiben, die Ihrer Meinung nach gefährdet ist, steht Ihnen Emsisoft immer gerne mit Rat und Tat zur Seite.

Wir wünschen eine schöne (DDOS-freie) Zeit!

Update: 14.03.2014

Wie immer hat der unabhängige Sicherheits-Blogger Brian Krebs einige Qualitätsinformationen und Tipps zu dieser aktuellen Sicherheitslücke gepostet. Laut Krebs fiel sein auf WordPress gehosteter Blog einer DDoS-Pingback-Attacke durch 42.000 Seiten zum Opfer. Krebs hat sowohl eine ganze Liste von Seiten gepostet, die an der Attacke beteiligt waren, als auch technische Schritte zur Vorbeugung in seinem KrebsOnSecurity-Blog.

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel