Questa volta ad essere interessate dagli attacchi a “forza bruta” per individuare username e password di amministrazione, sono potenzialmente le tante installazioni di WordPress. Nella giornata di lunedì 30 novembre infatti sul blog del SANS Internet Storm Center è comparsa una notizia alquanto allarmante dal titolo “Distributed Wordpress admin account cracking“. La scoperta di uno dei lettori del sito è che all’interno di un virtual private server (VPS) ha individuato uno script PHP che esegue un attacco di tipo brute-force ai danni degli account di amministrazione WordPress.
Sul sito del SANS sono presenti degli snippet di codice che danno un’idea di massima di come funzioni e di quanto possa essere efficace pur nella sua semplicità. In particolare la funzione “wp_brute_attempt()” sfruttando il tool da linea di comando cURL (usato per effettuare richieste HTTP) tenta di connettersi ad un particolare sito usando l’account di default “admin” e la password indicata come parametro.
Qualora le credenziali siano valide, viene recuperata una pagina che contiene la parola “Logout” e lo script segnala il successo dell’operazione (col classico “return true”). La cosa interessante è che il codice si appoggia ad un database MySQL per effettuare il cracking in modo da poter tenere traccia dello status delle operazioni. Le password vengono recuperate da una classica “wordlist” e nel caso lo script venga interrotto, viene salvato l’eventuale stato, così da poter riprendere successivamente i tentativi. Nella sua semplicità lo script consente di effettuare quindi un attacco distribuito su più siti contemporaneamente e tentando più password. Via: Oneitsecurity
Nessun commento:
Posta un commento