Brute Force Com a Ajuda do XMLRPC

Há um tempo atrás conhecemos a possibilidade de fazer uma botnet com zumbis que utilizam wordpress, mais precisamente explorando uma falha do XMLRPC; tive a oportunidade de montar um laboratório com alguns amigos membros do grupo ASHACK (grupo que tive o prazer de fazer parte) e notar a eficiência do ataque, desenvolvemos juntos uma ferramenta em phyton multi thread, os resultados foram no mínimo interessantes e uma vez que o número de usuários wordpress é enorme tudo fica ainda mais interessante,  pois bem agora podemos nos aproveitar do XMLRPC em ataques de Brute force.

Tradicionalmente ataques de Brute force em sites wordpress tem como alvo o /wp-login.php, só que dessa vez o papo é com outro cara. Como sabemos o XML-RPC é um protocolo de chamada de procedimento remoto (RPC), e um dos métodos bem utilizado e que usufrui desse recurso nos dias de hoje é o wp.getUsersBlogs, que na maioria das suas implementações utiliza autenticação por usuário e senha, sem muito mistério durante a realização de um ataque de brute force, o atacante fornece o usuário e senha e caso esses dados estejam corretos isso será confirmado… e o desenrolar da história é o de sempre rsrs.

Segundo a considerações realizadas pelo pessoal do sucurilabs o ataque de brute force via XMLCRPC é muito mais rápido e difícil de ser detectado, ainda segundo eles nas últimas quatro semanas os ataques têm aumentado em dez vezes, com quase 2 milhões de tentativas, foram detectados 17.000 diferentes IPs de origem de ataque. A utilização do OSSEC é uma boa opção para se prevenir este tipo de ataque.

Fica a dica galera, pretendo chamar os velhos amigos da ASHACK para alguns labs, se de fato rolar tempo o faremos e postarei os resultados, se caso alguns dos senhores tiverem resultados de algum lab ou considerações a serem feitas sintam-se à-vontade para comentar. Abrs

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário