Explicamos como se vulneraron 162000 web WordPress para lanzar un DDoS masivo

1

Supongamos que somos un ciber-delincuente de la red y queremos “tirar” una web. El método más obvio es diseñar un ataque distribuído de Denegación de Servicio o DDoS.

Los ataques DDoS normalmente utlizan una botnet de ordenadores secuestrados, para ponerlos en funcionamiento contra un mismo objetivo. El sitio recibirá tantas solicitudes de acceso que, si no está preparado para administrarlas, harán que este sitio web “caiga”. Muchos sitios web tendrían el mismo problema si varias hordas de fans de Justin Bieber hicieran click a la vez sobre un enlace o tweet del cantante.

Pero ¿Qué pasa si no tenemos el control de una Botnet de PCs secuestrados o no podemos pedir a Justin Bieber que envíe un tweet para ayudarnos? Fácil, siempre nos quedará WordPress.

Sucuri publicó a finales de la semana pasada una entrada, en la que se detallaba cómo se hizo caer a un servidor web, tras haber recibido tráfico no solicitado desde 162000 blogs de WordPress al mismo tiempo.

El Blog de la firma Sucuri nos alertaba del masivo ataque

El ataque empleó los denominados “pingbacks”, una característica de WordPress que permite a un sitio web que usa WordPress informar a otros sitios cuando escribimos una entrada que apunta hacia ellos.

Pero los sitios de WordPress no fueron hackeados ni comprometidos. En su lugar, mediante un simple terminal UNIX, un hacker consiguió solicitar a una página que enviase una solicitud HTTP hacia el objetivo, mediante la característica pingback. 

Pingback está habilitado en WordPress por defecto, esto quiere decir que la gran mayoría de webs que ejecutan este software podrían ser reclutadas por el lado oscuro sin su consentimiento. Veamos un gráfico publicado por “Incapsula”, que muestra cómo los atacantes pueden explotar la característica Pingback de WordPress para lanzar un DDoS.

Así es como deriva la opción "pingback" de WordPress en un ataque masivo DDoS

El año pasado se produjo un ataque similar, usando el mismo truco pero con un alcance mucho más limitado: 2500 webs aproximadamente. Lo curioso es que se incluyó algunos como el de Trend Micro, Zendesk o Gizmodo, para darle más “salsa” al asunto.

La firma de seguridad Incapsula ya publicó entonces un aviso:


Esto otorga a cualquier atacante con un rango virtualmente ilimitado de direcciones IP para lanzar un ataque DDoS a lo largo de más de 100 millones de sitios WordPress, sin tener que comprometerlos activamente.


Podemos ver que las cosas siguen más o menos como estaban en 2013, sigue existiendo un gran repertorio de sitios WordPress que podrían volver a intervenir en un ataque DDoS, con muy poco esfuerzo para los criminales.

Si sois administradores de un sitio web WordPress auto-alojado, os recomendamos revisar la entrada de Sucuri, para averiguar como mitigar los riesgos de ser reclutados para un ataque de este tipo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR