Serangan Botnet Targetkan 20.000 Situs WordPress dengan Kata Sandi yang Lemah

3

Serangan Botnet Targetkan 20.000 Situs WordPress dengan Kata Sandi yang Lemah – Para peneliti keamanan dari Defiant Threat Intelligence Team mengidentifikasi adanya serangan brute force besar-besaran terhadap situs yang menggunakan CMS WordPress.

Ada sekitar 20.000 situs yang ditargetkan dengan botnet, memanfaatkan situs web WordPress yang terinfeksi/diretas sebelumnya. Serangan ini dilakukan dengan membuat botnet dari situs web WordPress yang terinfeksi untuk melakukan serangannya, yang mencoba otentikasi XML-RPC ke situs WordPress lain untuk mengakses akun admin di situs target. Serangan ini dilewatkan proxy IP yang berlokasi di Rusia.

Serangan Botnet Targetkan 20.000 Situs WordPress dengan Kata Sandi yang Lemah

Serangan ini pertama kali diidentifikasi oleh Defiant Threat Intelligence Team dan dilaporkan oleh Wordfence pada hari Rabu, memanfaatkan empat server perintah-dan-kontrol (C2) yang pada gilirannya mengirim permintaan ke lebih dari 14.000 server proxy yang terkait dengan perusahaan internet Rusia yang disebut Best Proxies.

“[Para penyerang] menggunakan proxy untuk menganonimkan lalu lintas C2. Permintaan melewati server proxy dan dikirim ke lebih dari 20.000 situs WordPress yang terinfeksi. Situs-situs tersebut menjalankan skrip serangan yang menyerang situs WordPress yang ditargetkan, ”tulis Mikey Veenstra, seorang peneliti keamanan web di Wordfence, dalam sebuah posting.

Menurut Veenstra, situs WordPress yang terinfeksi, dan situs C2 yang mengendalikannya, saat ini masih online. Dia mengatakan Wordfence dan Defiant bekerja dengan penegak hukum untuk mengamankan sumber daya yang rentan.

Secara khusus yang ditargetkan dalam serangan adalah antarmuka XML-RPC WordPress (/xmlrpc.php). XML-RPC adalah API yang digunakan oleh pengembang aplikasi seluler Android dan iOS untuk menghubungkan aplikasi ke situs web WordPress.

“Serangan-serangan ini diluncurkan oleh script yang ditanam di situs WordPress lain, yang menerima instruksi dari botnet dengan rantai serangan yang canggih,” kata peneliti.

Rantai serangan itu dimulai dengan script yang berjalan otomatis untuk mendapatkan akses ke antarmuka XML-RPC menggunakan nama pengguna dan kata sandi umum.

“Daftar kata yang terkait dengan serangan ini berisi sekumpulan kecil kata sandi yang sangat umum. Namun, skrip ini mencakup fungsionalitas untuk secara dinamis menghasilkan kata sandi yang sesuai berdasarkan pola umum, ”kata para peneliti.

Setelah script mencoba masuk ke example.com sebagai pengguna alice, selanjutnya ia menghasilkan kata sandi seperti example, alice1, alice2018, dan seterusnya. Serangan seperti ini sangat efektif bila digunakan dengan target dalam skala besar. (yuyudhn/linuxsec)