Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

WordPress-hack: Hosters moeten security serieus nemen

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 18 maart 2014 08:13 uur

Eigenlijk is het te banaal voor woorden. Al sinds 2007 is in WordPress een ‘feature’ bekend waarmee het echt kinderlijk eenvoudig is om DDoS-aanvallen op te zetten, waarbij WordPress-sites elkaar gebruiken om daarmee een doelwit te bombarderen. Begin deze week publiceerde Sucuri.net een blog waarin werd uitgelegd hoe je met een simpel stukje code 162.000 WordPress-sites succesvol een DDoS-aanval uitvoert. Dat weten we dan. En nu? Wat als je als hoster honderden, tot misschien duizenden WordPress-sites host voor klanten? Moet je iets met een bericht over een dergelijk risico in een CMS?

De truc is echt eenvoudig. Per default staat pingback aan in WordPress, via XMLRPC. Dit wordt gebruikt voor diverse functionaliteiten, met name voor mobiele toegang tot de sites. Het is direct het grootste ‘lek’ – let wel: goed beschouwd is hier geen sprake van een lek. WordPress gebruikt de functionaliteit bewust – in de populaire content managementsoftware. Hackers gebruikten het lek om meer dan 162.000 WordPress-sites met elkaar te laten communiceren en gezamenlijk een doelwit onder schot te nemen in een DDoS-aanval. De pingback-verzoeken die op het doelwit werden afgevuurd, hadden telkens andere URL’s. De doelsite moest daarom telkens een nieuwe pagina laden om een verzoek vanuit de aanvallers te beantwoorden. Een stukje code. En een bijna niet te achterhalen DDoS-bron.

DDoS groeit in populariteit. Vooral NTP-amplification is een veel gebruikte techniek: hierbij wordt een IP-adres van een doelwit vervalst. Vanaf dat adres wordt een verzoek naar een NTP-server gestuurd. Die server stuurt daarop een antwoord terug, maar dan naar het doelwit en flink ‘versterkt’. Er zijn op de markt diverse DDoS-toolkits verkrijgbaar waarmee ook dit bijzonder eenvoudig is om uit te voeren. En zo lijkt er maar geen einde te komen aan de manieren waarop een DDoS kan worden opgezet. En wat doen de hosters?

In het geval van deWordPress-hack: het is eenvoudig om te achterhalen of sites worden misbruikt. In de blog van Sucuri wordt keurig uitgelegd hoe je dit kunt achterhalen en kunt voorkomen.  Het wordt echt tijd dat de hostingbranche zelf echt eens heel serieus leert omgaan met security. Daarbij hebben we het niet over de grote, professionele bedrijven die regelmatig audits laten uitvoeren op hun security, maar vooral om de kleine hosters die ergens in een datacenter een paar servers hebben draaien en die tot de nok volstouwen met websites, waar ze nauwelijks nog naar omkijken. Ook die partijen hebben een plicht om security op een hoog niveau te waarborgen.

Security is een maatschappelijke plicht. Misschien vindt een klant van zo’n hoster het niet erg als een site niet beschikbaar is, maar die site vormt wellicht wel een schakel in een botnet-ketting van waaruit DDoS-aanvallen worden uitgevoerd. Sterker: het verdient zo langzamerhand misschien wel sterke aanbeveling om hosters verplicht te onderwerpen aan een jaarlijkse security-audit om zo het kaf van het koren te scheiden. Hosters – ook kleine hosters en zolderkamerbedrijven – moeten zich gaan realiseren welke verantwoordelijkheid zij hebben om hun klanten en die van collega’s te vrijwaren van ellende die internetcriminaliteit met zich meebrengt. Dat is niet alleen een zaak van de ‘grote jongens’. Niet meer.

Jeroen, 18 maart 2014 9:57 am

Misschien handig de link naar het blog erbij te vermelden: http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html

Wouter, 18 maart 2014 11:03 am

Graag wijs ik jullie op een softwareproduct dat precies inspringt op deze visie: Patchman. Het is een oplossing gericht op hostingproviders om precies in kaart te brengen welke hostingaccounts zwakheden bevatten, informeert je eindgebruikers en kan uiteindelijk de beveiligingslekken automatisch dichten zonder de functionaliteit aan te tasten. Onder andere Antagonist maakt gebruik van Patchman: https://tweakers.net/nieuws/85638/hostingprovider-antagonist-wil-websites-klanten-automatisch-patchen.html

Zie voor meer informatie onze website: patchman.co

Gurbe, 18 maart 2014 11:47 am

Wouter. Ik ben erg sceptisch over dit soort oplossingen. Wellicht kijk ik er te moelijk naar, maar ik vind het nogal tricky om "zomaar" klant zaken aan te passen. Ik weet dan ook verder niet hoe jullie pakket technisch werkt, want dat staat niet heel erg duidelijk op jullie website :-)

Wouter, 18 maart 2014 12:02 pm

Gurbe, ik begrijp die twijfels. Het laat zich ook moeilijk uitleggen in een paar zinnen. Neem gerust contact op als je geïnteresseerd bent in meer informatie :-)

Rob, 18 maart 2014 1:34 pm

Pingbacks functioneren net even iets anders dan je beschrijft. De 162.000 WordPress-sites communiceren niet met elkaar. Elke site ontvangt van de aanvaller(s) een gemanipuleerd pingback-verzoek met daarin de URL van de doelwebsite. Een pingback is echter pas compleet zodra WordPress gecontroleerd en bevestigd heeft dat er op de pagina waarnaar in de pingback verwezen wordt, inderdaad een link is opgenomen. Het DDoS-effect ontstaat dus door de controle die alle WordPress-sites uitvoeren op de pingback: zij vragen elk de URL van de doelwebsite op, waardoor de server overspoeld wordt met honderden verzoeken per seconde. Door aan de URL in elke pingback een parameter met een willekeurig numeriek getal toe te voegen, kunnen de verzoeken bovendien niet vanuit de cache geserveerd worden, en is het effect des te heviger.

Verder denk ik niet dat dit een goed voorbeeld is van een kwetsbaarheid waarbij hostingproviders in moeten grijpen. Het betreft immers een (wenselijke) feature van niet alleen WordPress, maar ook vele andere cms-en. Bovendien vormt het geen beveiligingsrisico. Je kunt onmogelijk van hostingbedrijven verwachten dat ze elke gehoste website op kwetsbaarheden controleren; dat schaalt niet.

Wouter, 18 maart 2014 2:07 pm

Bij een gemiddelde webhostingprovider draait op 30 - 50 % van de hosting accounts een verouderde versie van WordPress, Drupal of Joomla. Deze verouderde versies creëren een groot beveiligingsrisico voor hostingproviders. Veel van de beveiligingslekken vallen in de categorie "Remote Code Execution". Met andere woorden, het stelt een hacker in staat om willekeurige code uit te voeren op de server die aangevallen wordt.

Natuurlijk heeft de eindgebruiker een verantwoordelijkheid om zijn website veilig te houden, maar als hostingprovider heb je ook de verantwoordelijkheid om het platform als geheel veilig te houden. In mijn ogen is het onverantwoordelijk om het beveiligingsrisico te negeren dat ontstaat door verouderde websites. Dat is iets waar Patchman bij kan helpen.

Mark, 18 maart 2014 6:43 pm

@Wouter: je kijkt helemaal niet naar het probleem wat hier beschreven wordt. Het betreft hier een feature die door grote groepen gebruikers gewenst is en die tevens nog in de laatste versie zit. Daar geeft jouw product (Patchman) geen oplossing voor.

Dat het zinvol is om te kijken naar welke versies er draaien van sites en klanten te motiveren zelf te updaten of een update service aan te bieden ben ik wel voorstander van. Hier zijn wij dan ook actief mee bezig om problemen waar mogelijk voor te zijn.

Wouter, 19 maart 2014 10:14 am

@Mark: Ik reageerde op de algemene visie van de auteur van het artikel dat hostingbedrijven zich zouden moeten bekommeren om de veiligheidsrisico's die applicaties met zich meebrengen. Daar ben ik het mee eens. Ik reageerde dus niet op de specifieke situatie die werd omschreven.

Jacob Lageveen, 10 juni 2014 6:59 am

Goed artikel. Wordpress is target nr 1 vanwege de populariteit van het CMS.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.