xmlrpc.php-Attack

Si tienes un wordpress y lo tienes configurado por defecto, tienes un problema.

Hablando de código, puesto que sabemos que los cms’s más famosos tienen un gran soporte, es muy difícil encontrar fallas críticas en ellos. Pero tiramos todo ese trabajo a la basura cuando lo configuramos por defecto, y ya no quiero hablar de usuarios por defecto de las bases de datos, puertos abiertos, más información de la debida, etc… Si no de puertas que tiene WordPress y que poca gente conoce.

xmlrpc es un “Protocolo” que usa xml para estructurar los datos, lo que común mente se llama API. Este API, sirve para comunicarse, en este caso, con nuestra página wordpress y tiene muchos detalles que nos llaman la atención.

Nos vamos a centrar sobre todo, por lo menos en este post, en 2 de los ataques más frecuentes y uno viene como consecuencia de otro.

Las web wordpress, llevan por defecto activado este protocolo y podemos acceder al php desde https://[Link]/xmlrpc.php

Puesto que es una especia de API, podemos loguearnos para hacer cualquier tipo de acción sobre el blog, borrar comentarios, crear usuarios, crear posts, editar posts, todo lo que se te pueda ocurrir. Y no es difícil hacer un ataque de fuerza bruta a este archivo puesto que tiene una estructura clara y no tiene límite de peticiones.

Efectivamente, además de poder encontrar usuario y contraseña, este protocolo tiene algo muy peculiar y es que procesa absolutamente todas las peticiones que se le manda, imagínate mandar más 100 peticiones por segundo (Algo asequible), créeme, se cae la página. Tiene que procesar todas las peticiones y no para, los recursos del host acaban totalmente saturados y hace que se caiga la página.

Por favor, no dejéis las cosas por defecto.

Un saludo.

Leave a Reply

Your email address will not be published. Required fields are marked *