Blogger unter Beschuss - Pingback missbraucht
Die Pingback-Funktion von WordPress kann dazu missbraucht werden, Blogs für eine Denial-of-Service-Attacke einzuspannen, ohne dass deren Besitzer das bemerken. Es ist unwahrscheinlich, dass das Problem mit einem Update behoben wird.
- Fabian A. Scherschel
Die Sicherheitsfirma Sucuri berichtet von einem Angriff auf eine WordPress-Installation, bei der mehr als 162.000 andere WordPress-Seiten als DDoS-Plattform missbraucht wurden. Der Angreifer machte sich hierbei die Pingback-Funktion der Software zu Nutze, um die Zielwebseite komplett lahmzulegen. Mit einem Pingback kann eine WordPress-Seite einer anderen mitteilen, dass sie deren Blog-Beitrag zitiert hat.
Die Attacke funktioniert so, dass ein Angreifer sich ein legitimes Blog sucht, das Pingbacks eingeschaltet hat (momentan die Grundeinstellung bei neuen WordPress-Installationen) und diesem dann ein Pingback von der Seite des Opfers vorgaukelt. Das legitime Blog fragt dann beim Opfer nach dem Post, der in dem gefälschten Pingback angegeben war. Wenn der Angreifer dies mit vielen verschiedenen Seiten macht, ist die Traffic-Flut für die Zielseite schwer zu blocken, da die Anfragen durchaus legitim aussehen und von vertrauenswürdigen Quellen kommen.
Bei dem von Sucuri beobachteten Angriff waren bei den falschen Pingbacks zufällig generierte URLs für die angeblichen Posts beim Opfer angegeben. Das führt dazu, dass der Caching-Mechanismus von WordPress nicht greift und der Webserver dadurch um so mehr belastet wird, da dieser bei jeder Anfrage die Datenbank bemühen muss, um die vermeintlichen Posts auszuliefern. In Wirklichkeit erzeugt der Server natürlich immer nur 404-Fehler, da es für die zufälligen URLs keine Seiten gibt. Kommen viele Anfragen, genügt das allerdings, um die Datenbank der WordPress-Installation lahmzulegen. Auf Unix-Systemen lässt sich so ein Angriff sehr einfach mit dem curl-Befehl auslösen.
Da der Angriff die ordentliche Funktionsweise der Pingback-Funktion missbraucht, ist nicht davon auszugehen, dass die WordPress-Entwickler etwas gegen das Problem unternehmen werden. Seitenbetreiber können verhindern, dass ihr Blog auf diese Weise missbraucht wird, in dem sie die Pingback-Funktionen ihrer Installation deaktivieren. Sucuri selbst schlägt Quellcode für ein WordPress-Plugin vor, welches die Angriffe blocken soll. (fab)
