Accunetix, une société spécialisée dans la sécurité des applications Web signale la découverte d’une vulnérabilité dans la fonction PingBack du CMS WordPress. Selon le rapport, la vulnérabilité PingBack existe sur la plateforme de blogs WordPress et pourrait conduire à un déni de service distribué (DDoS) ainsi qu’à des fuites de données.
“WordPress possède une API XMLRPC qui peut être consultée dans le fichier xmlrpc.php. Lorsque WordPress traite les pingbacks, il essaie de résoudre l’URL source, et en cas de succès, fera une demande à cette URL afin de vérifier la réponse. S’il trouve un tel lien, il sera publié en commentaire sur ce billet de blog annonçant ainsi que quelqu’un a mentionné le billet sur son site“, explique Bogdan Calin.
Le PingBack est l’un des trois types de backlinks. Cela permet aux auteurs de garder une trace des liens pointant vers leurs contenus, ou se référant à leurs articles. Certains logiciels de blog, tels que Movable Type, Serendipity, WordPress, et Telligent, soutiennent les pingbacks automatiques lorsqu’un article est publié.
Un nouvel outil a été publié qui automatise la vulnérabilité pingback, exploit distribué sur le site de développement collaboratif Github. Il a été nommé “WordPressPingbackPortScanner“. Cet outil développé en Ruby exploite l’API WordPress et permet à un pirate de scanner d’autres hôtes, plusieurs blogs WordPress et, avec une URL spécifique, de les reconfigurer.
Le bug est déjà signalé à la communauté WordPress, mais le billet sur Softpedia a été fermé après que quelqu’un ait affirmé “qu’il y a tellement de façons d’orchestrer une attaque DDOS.”…
Tous lessite WordPress sont potentiellement en danger, et peuvent être fortement abusé par des attaquants. Depuis les dernières versions, WordPress prend également en charge les informations d’identification d’URL, ainsi, l’attaquant peut employer un lien de type http://admin:admin@192.168.0.1/changeDNS.asp?NewDNS=xxxxxxx afin de reconfigurer les routeurs internes.
Il est à préciser que la désactivation de la fonction PingBack ne réglera pas le problème, la solution est d’attendre un patch.
Cependant, quelqu’un a déjà informé qu’une astuce est possible via le fichier htaccess pour bloquer l’exploitation de la faille :
<files xmlrpc.php=””>
Order allow,deny
Deny from all
</files>