Skip to content
Net Uno Informatica – Salerno

Contact : info@net-1.it

  • Home
    • Chi Siamo
      • I Nostri Clienti
      • Privacy Policy
  • Software
    • The Beach | Lidi Balneari
    • Business Intelligence
    • Relation | Software CRM
  • I Nostri Servizi
    • Hosting
    • Siti Web e Mail
      • Siti Web
      • Giga Mail & PEC
    • Eventi sul web
    • Sms gateway
    • Il filtro internet per HotSpot
  • Area Clienti | Guide
    • Data Viewer
      • Guida DataViewer
    • Posta elettronica
    • Hosting
      • Norme per siti WordPress
  • Contattaci

XMLRPC or WP-Login: quale preferiscono i Brute Force Attackers.

Recentemente una nota società americana che si occupa di sicurezza informatica ha dato uno sguardo più da vicino agli obiettivi degli attacchi di forza bruta, in particolare XMLRPC e wp-login, per ottenere una più profonda comprensione di come si comportano gli aggressori.

In WordPress ci sono diversi modi per autenticarsi al vostro sito web. I due modi più comuni per l’autenticazione utilizzano la pagina di login standard situata in wp-login.php, oppure utilizzando XMLRPC.

Il metodo XMLRPC è di solito utilizzato da applicazioni, come applicazioni mobili, per l’autenticazione prima di essere in grado di eseguire azioni privilegiate sul sito.

Sono stati analizzati i dati di attacco nel corso di un periodo di 2 settimane dal 16 gennaio fino 29 gennaio per determinare quale bersaglio gli attaccanti preferiscono attaccare. Ecco i risultati della nostra analisi.

In questo periodo hanno visto quasi esattamente lo stesso numero di attacchi sia contro XMLRPC che  wp-login. Sono stati lanciati un totale di 106 milioni di attacchi contro wp-login rispetto ai 108 milioni di attacchi contro XMLRPC.

Questo risultato sorprenderebbe pensando al fatto che gli aggressori di XMLRPC necessiterebbero di maggiori capacità e di maggiore creatività. Tuttavia, riflettendoci, è necessaria la stessa quantità di sforzo per scrivere uno script di attacco o un bot che attacchi di forza bruta o di destinazione per entrambi gli obeittivi.

Il grafico qui sopra mostra il numero di indirizzi IP unici, bersaglio di un attacco. Si noti che questo non è il numero di attacchi, ma il numero di attaccanti contati come unici indirizzi IP.

Mentre XMLRPC ha subito più attacchi, wp-login ha visto attaccanti un po’ più unici.

Sono stati intercettati 11.453 attaccanti solo per XMLRPC,  mentre 38.771 attaccanti solo di targeting wp-login. Inoltre è stato intercettato un numero enorme, ben 224.461 indirizzi IP unici, di attacchi rivolti sia XMLRPC che a  wp-login.

Gli aggressori dei diversi Paesi preferiscono XMLRPC o WP-password?


Sono stati analizzati gli attacchi da parte dei Paesi “migliori”. Come si può vedere nel grafico, la maggior parte degli attacchi provengono da Russia e Stati Uniti che è il secondo attaccante più prolifico.

La cosa interessante è che gli attacchi provenienti dalla Russia hanno una forte preferenza per wp-login come bersaglio, mentre gli attacchi provenienti dagli Stati Uniti hanno la preferenza opposta. Essi sembrano indirizzare la maggior parte verso l’obiettivo XMLRPC.

Scavando più in profondità negli attacchi Brute Force dagli USA

Come si può vedere la maggior parte del numero totale di attacchi provenienti degli Stati Uniti provengono da Amazon.com che fornisce servizi di cloud computing per sviluppatori. Un totale di oltre 144 milioni di attacchi in due settimane provengono da Amazon.

La maggior parte di questi attacchi prendono di mira XMLRPC. Ciò che sorprende però è che sono venuti da soli 36 indirizzi IP univoci ospitati su Amazon di cui 3 di questi indirizzi IP sembrano essere istanze EC2 in base ai loro nomi host inverso.

Allora, cosa sta succedendo? Wordfence ha due teorie in merito:

  • la prima è che 36 server su Amazon EC2 sono stati compromessi e sono stati utilizzati per lanciare un attacco molto rapido e diffuso di forza bruta nel corso delle ultime 2 settimane. Questo attacco ha generato oltre 144 milioni di tentativi di accesso non riusciti sui i siti monitorati;
  • la seconda teoria è che uno sviluppatore può utilizzare EC2 per ospitare un’applicazione che sta cercando di accedere a siti web WordPress utilizzando XMLRPC. L’applicazione potrebbe non gestire correttamente le credenziali degli utenti cattivi e, quindi, tenterà di riprovare in continuazione.

Può anche essere una combinazione di entrambe le applicazioni cattive ospitate presso EC2 e server compromessi impegnati in un attacco di forza bruta su larga scala.

Conclusioni

I dati in questo post riportano in primo piano una vecchia domanda ampiamente discussa: è o non è una buona idea nascondere la pagina di login?

A meno che non si nasconde ogni metodo di login sul sito, gli attaccanti saranno sempre in grado di attaccare con forza bruta sui siti web.

Se si disattiva o si sposta XMLRPC, si rischia di corrompere diverse applicazioni, tra cui le applicazioni mobili, che si basano su XMLRPC per la loro esecuzione.

Se si nasconde o si sposta la pagina di accesso, bisogna essere coscienti dei disagi e della confusione per gli utenti, tuttavia XMLRPC resterà ancora un vettore di attacco.

Altri metodi di autenticazione saranno presto resi disponibili in WordPress tramite, ad esempio, l’API REST WP. Non è difficile immaginare che anche questi saranno sfruttati da malintenzionati.

L’articolo si conclude con il consiglio di utilizzare un firewall di sicurezza per bloccare questi tipi di attacco. Ovviamente Wordfence consiglia il proprio.

(Fonte: wordfence.com)

 

Condividi:

  • LinkedIn
  • Twitter
  • Facebook

News

31 Mar

Vulnerabilità critiche che interessano oltre 200.000 siti inseriti in un plug-in SEO di WordPress

Il 23 marzo 2020, è stata scoperta una vulnerabil...
Piccole Medie Digitali – Napoli, 7 maggio
19 Apr

Piccole Medie Digitali – Napoli, 7 maggio

Saremo presenti all'evento di formazione dedi...
Ricevi ed invia fatture elettroniche
16 Nov

Ricevi ed invia fatture elettroniche

NET UNO S.a.s. propone un servizio di Fatturazione...
Mostra tutti

Software

Stain Dpo è un software nato per rendere compliant le aziende in ottemperanza al Regolamen...
STAIN DPO – Il primo software di consulenza per Dpo e Imprese
  Relation è un sistema software CRM sviluppato dalla Net Uno s.a.s. di Virtuoso F...
Relation |Software CRM
Net1-Lawyer è il nuovo software nato nella famiglia Net Uno s.a.s. Net1-Lawyer è la nos...
Net1-Lawyer – la nostra soluzione per il tuo studio legale
Mostra tutti

Articoli recenti

  • Privacy Policy WiFi NET UNO S.a.s.
  • Scatta oggi l’obbligo per mettersi in regola con l’informativa sui cookie
  • Net Uno S.a.s. – SALERNO –
  • Array di oggetti: copiare con cura
  • Giorgio Taverniti il guru della Seo (Search Engine Optimization)
  • News
  • Hosting
  • Siti Web
  • Web mail
  • Login
  • Coding Blog
  • Privacy Policy
  • Dichiarazione Estesa per l’utilizzo dei Cookies
Net Uno s.a.s. di Virtuoso Francesco & C.© 2016 | Via Pietro Del Pezzo, 53, 84128 Salerno PIVA 04223350655 - Tel. 089 9358 236
WordPress Theme : AccessPress Lite

Questo sito web utilizza cookies per offrirti la migliore esperienza di navigazione.

Puoi utilizzarli tutti o selezionare quelli che desideri usare, personalizzando il settaggio.

Net Uno Informatica - Salerno
Powered by  GDPR Cookie Compliance
Panoramica Privacy Policy

Questo sito web usa i cookies per fornirti la migliore esperienza di navigazione. I Cookie memorizzano le informazioni e le funzioni di performance utili nel tuo browser come, ad esempio, riconoscerti quando ritorni sul nostro sito web ed ottenere aiuti dal nostro staff per capire quale sezione del sito web ti interessa maggiormente.

Puoi modificare le impostazioni dei cookie cookie anche durante la navigazione grazie al pulsante in basso a sinistra.

Dati personali raccolti per le seguenti finalità ed utilizzando i seguenti servizi:

SERVIZIO: Mailing List o Newsletter
DATI PERSONALI: email e nome
FINALITÀ DEL TRATTAMENTO: Contattare l’Utente

SERVIZIO: Modulo di contatto
DATI PERSONALI: email, nome, ragione sociale, settore di attività e sito web
FINALITÀ DEL TRATTAMENTO: Contattare l’Utente

SERVIZIO: Pulsante Mi Piace e widget sociali di Facebook
DATI PERSONALI: Cookie e Dati di utilizzo
FINALITÀ DEL TRATTAMENTO: Interazione con social network e piattaforme esterne

SERVIZIO: Google Analytics
DATI PERSONALI: Cookie e Dati di utilizzo
FINALITÀ DEL TRATTAMENTO: Statistica

Informazioni di contatto

Titolare del Trattamento dei Dati: Net Uno S.a.s. di Francesco Virtuoso & C., con sede legale in via Pietro del Pezzo, n. 53 – 84128 Salerno (SA)

Indirizzo email del Titolare: info@net-1.it

Cookies tecnici

I cookies tecnici salvano le tue preferenze di navigazione.

Se disabliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookies.

Cookies terze parti

Questo sito web utilizza Google Analytics per raccogliere informazioni anonime come ad esempio il numero di visitatori del sito e le pagine più popolari.

Mantenere abilitato questo cookie ci aiuta a migliorare le funzionalità del sito web.

Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!

Cookie Policy

Altre informazioni circa la nostra Cookie Policy