Исследователи безопасности в Wordfence сообщают, что тысячи взломали домашние маршрутизаторы атакуют WordPress сайтов. Wordfence брандмауэр и вредоносных программ сканер продуктов используются на более чем 2 миллионов WordPress сайтов и компания считает, что 6,7% всех атак на этих сайтах приходят от взломали домашних маршрутизаторов.
«Только за последний месяц мы видели более 57000 уникальных домашних маршрутизаторов, используемых для нападения WordPress сайтов», Wordfence генеральный директор Марк Маундер сказал. «Эти домашние сети в настоящее время изучаются хакерами, которые имеют полный доступ к ним через взломанный домашний маршрутизатор. Они могут получить доступ к рабочим станциям, мобильным устройствам, wi-fi-камерам, климат-контролю Wi-Fi и любым другим устройствам, которые используют домашнюю сеть WiFi».
Маундер сказал, что его команда в основном видели грубой силы нападения ориентации как wp-login.php (традиционный логин конечная точка для WordPress), а также XMLRPC войти. Они также стали свидетелями небольшого процента сложных атак. Wordfence обнаружил в общей сложности 67 миллионов индивидуальных атак от маршрутизаторов компания определила в марте.
В то время как исследователи Wordfence создавали свой ежемесячный отчет о нападениях,они заметили, что Алжир прыгнул в рейтинге с 60 до 24 в их списке «Лучшие атакующие страны». Их обзор данных о нападениях в Алжире показал ,длинный хвост’ из более чем 10 000 атакующих ИП, происходящих из алжирского государственного провайдера.
Уязвимость, известная как«печенье несчастья»,используется в этих атаках. Он захватывает сервис, который isP использует для удаленного управления домашними маршрутизаторами, слушая номер порта 7547. ISP должны закрыть общий доступ в Интернет в этот порт, но многие из них этого не сделали.
«Похоже, что злоумышленники использовали домашние маршрутизаторы на государственной телекоммуникационной сети Алжира и используют эксплуатируемые маршрутизаторы для атаки WordPress веб-сайтов по всему миру», сказал Маундер.
Wordfence исследователи сканировали устройства, чтобы узнать, какие услуги они работают и обнаружили, что они являются маршрутизаторами Зиксель обычно используется в домашних условиях Интернет. Они обнаружили, что многие из них имеют серьезные и хорошо известные уязвимости в RomPager, встроенный веб-сервер от AllegroSoft.
«Мы затем вырыли глубже и обнаружили, что многие провайдеры по всему миру имеют эту же проблему, и эти маршрутизаторы атакуют WordPress сайтов с помощью грубой силы нападения», сказал Маундер.
Я говорил с Тони Перес, генеральный директор Sucuri, чтобы увидеть, если его команда обнаружила что-нибудь подобное. Sucuri также отслеживает WordPress грубой силы попытки, но Перес сказал текущие цифры не являются замечательными по сравнению исторически к середине 2016 года.
«Я думаю, что причина Sucuri и других компаний не видят это потому, что это слабый рейтинг сигнал для злонамеренного поведения», сказал Маундер. «Как мы указываем в докладе,каждый из этих ИП делает только между 50 и 1000 атак в месяц на сайтах. Они также атакуют только в течение нескольких часов каждый. Эти комбинированные очень слабый сигнал ранжирования для злонамеренного поведения. Эта низкая частота также делает атаки более эффективными, поскольку они менее вероятно, будут заблокированы «.
Эта конкретная проблема безопасности является необычным в том, что уязвимость с маршрутизаторами, а не с WordPress себя. Злоумышленники массово взломать тысячи устройств, загрузить сценарий атаки WordPress и список целей, а затем у них есть тысячи маршрутизаторов под их контролем, чтобы атаковать WordPress сайтов.
Этот тип ботнета не очень редко, как исследователи безопасности из ESET недавно обнаружили новые вредоносные программы под названием Sathurbot, который использует торрент-файлы в качестве метода распространения скоординированных грубой силы атак на WordPress сайтов. Уязвимость в данном случае не в программном обеспечении, а в слабых учетных записях администратора WordPress.
Защита от атак грубой силы начинается с сильного пароля администратора. Есть также много популярных плагинов, таких как щит безопасности, Jetpack Защита модуль, iThemes безопасности, и Wordfence, которые предлагают защиту от грубой силы атак.
Если вы хотите убедиться, что ваш маршрутизатор не уязвим для вербовки для этих атак, Wordfence создал инструмент, который позволяет легко проверить. Он определяет, имеет ли ваш домашний маршрутизатор порт 7547 открытым или работает уязвимая версия RomPager. Если вы обнаружите, что ваш маршрутизатор уязвим или порт 7547 открыт, Wordfence опубликовал инструкции о том, как обезопасить устройство.
Оригинал: wptavern.com
