2014 年 3 月に初めて説明された脆弱性を利用した最近の分散型サービス拒否攻撃キャンペーンでは、26,000 以上の WordPress サイトが奴隷化され、使用されました。
レイヤー7攻撃は、WordPressサイトでデフォルトで有効になっているピンバック機能を悪用します。ピンバックは、他のサイトへのリンクが張られたことを通知する機能です。このピンバックは、サイトへの過剰なアクセスに悪用される可能性があります。
WordPress は 2014 年 4 月にバージョン 3.9 以降で修正をリリースし、ピンバックの送信元を示す IP アドレス ログを追加しましたが、攻撃者は気にしていないようです。
Sucuriのマルウェアアナリスト、ダニエル・シド氏は、今回の攻撃は同社の顧客を襲った分散型サービス拒否攻撃の約13%を占めると述べた。
「IP ログの価値が潜在的に低下しているにもかかわらず、攻撃者は依然としてこの手法を頻繁に使用しています」とシド氏は言います。
「攻撃は何千もの異なる IP から行われるため、ネットワークベースのファイアウォールは IP アドレスごとにレート制限を行うだけなので、攻撃を阻止することはほとんどできません。」
Cid 氏によれば、あるケースだけでも、26,000 件の WordPress サイトが悪用され、1 つの Web サイトに対して 1 秒あたり最大 20,000 件の HTTPS リクエストの持続的なピンバック ストリームが生成されました。
さまざまなプロバイダーから発生した攻撃を示す統計。
この攻撃は、より多くのリソースを消費する HTTPS を使用するため、ロードバランサーやプロキシを導入していても、ほとんどのサーバーでは対応できません。
IPアドレスログのパッチは確かに有効ですが、WordPress管理者のほとんどがユーザーエージェントログを確認していないため、完全な緩和策とは言えません。Cidは、攻撃者が利用できるリソースを減らすため、ピンバック機能を無効にすることを推奨しています。
2014 年、WordPress のピンバック攻撃には 162,000 台以上のマシンが関与しました。®
