Sicherheitslücke in WordPress

DDoS-Attacke per Blog

Jens-Philipp Jung ist Mitgründer und Geschäftsführer der Link11 GmbH aus Frankfurt/M. Das Unternehmen schützt Webseiten und Server vor DDoS-Attacken aus dem Internet und hat bereits mehrfach Preise für die innovative Schutzlösung gewonnen. Als ausgewiesener IT-Experte arbeitet Jung an der IKT-Strategie des Bundesministeriums für Bildung und Forschung mit.
DDoS-Angreifer nutzen regelmäßig und im großen Umfang Schwachstellen in WordPress-Blogs aus, um Reflection-Attacken zu starten.

Für die Ausführung von DDoS-Attacken gibt es verschiedene Methoden. Am bekanntesten sind Botnetz-Armeen aus infizierten Rechnern, die auf Anweisung eines Command-und-Control-Rechners Webseiten, Server oder Netzwerke attackieren. Bei einer anderen Angriffsart setzen die Angreifer auf Sicherheitslücken in Web-Applikationen und Software, um Server zu missbrauchen. Die weit verbreitete Blog-Software WordPress ist für ihre DDoS-Schwachstellen bekannt. So kamen Security-Experten im Februar 2016 einem Botnetz auf die Spur, das allein über 26.000 WordPress-Blogs für eine DDoS-Attacke einsetzt. Im März 2014 waren es mehr als 162.000 WordPress-Seiten, die für eine DDoS-Attacken eingesetzt wurden. Das Link11 Security Operation Center (LSOC) verzeichnet jede Woche mehrere solcher Angriffe auf Ziele in Deutschland, Österreich und der Schweiz.


So funktioniert der DDoS-Angriff per WordPress

Die DDoS-kritische Sicherheitslücke im Programmiercode von WordPress liegt in der XML-RPC-Schnittstelle der Blogs, die für Pingbacks und Trackbacks genutzt werden kann. DDoS-Angreifer manipulieren die Kommentarfunktion und legen eine Textdatei mit der Ziel-URL ihres Angriffsopfers in der Datenbank ab. Der Server, der hinter dem WordPress-Blog liegt, liest die Datei aus und fragt die Ziel-URL an. Geschieht dies von mehreren tausenden Blogs zeitgleich, ist der Server der Zielseite schnell überlastet. Die so durchgeführten DDoS-Angriffe gehören zur Kategorie der sogenannten Layer 7 Reflection Attacken. Sie sind mit wenig technischem Aufwand umzusetzen, erreichen aber einen hohen Wirkungsgrad. Nach Analysen des LSOC verwendeten im 1. Quartal 2016 über 22 Prozent aller DDoS-Attacken Reflection-Technologien. Unter Ausnutzung von Sicherheitslücken leiten die Angreifer ihren Datenverkehr zunächst auf andere, harmlose Server um. Diese spiegeln ('reflect') dann die mit weiteren Datenpaketen angereicherten Anfragen an das eigentliche Ziel. Da Patches nicht funktionieren, bleiben die Schwachstellen in WordPress so lange ein Sicherheitsrisiko, wie die Blog-Software eingesetzt wird.

Server gegen WordPress Reflection-Attacken absichern

Im Auftrag seiner Kunden hat das LSOC in den vergangenen Monaten bislang vier sehr große DDoS-Attacken über missbrauchte WordPress-Seiten abgewehrt. An den Angriffen waren zwischen 350.000 bis 400.000 Blogs beteiligt. Die Angriffsraten erreichten nach Messungen des LSOC in Spitzen über 22.000 https-Requests pro Sekunde. Bei einem sehr großen E-Commerce-Anbieter lagen die Höchstwerte zwischen 18.000 und 22.000 Hits. Die Werte im Normalbetrieb von 1.000 und 2.000 Requests pro Sekunde wurden um das 20-Fache übertroffen. Professioneller DDoS-Schutz ermöglicht ein gezieltes Herausfiltern des auffällig stark vermehrten WordPress-Datenverkehrs, so dass sie auf die Performance und Verfügbarkeit der geschützten Kunden-Server keine Auswirkungen haben.

60 Millionen potenzielle DDoS-Verstärker

WordPress hat unter den Content-Management-Systemen den höchsten Marktanteil. Die Blog-Software wird weltweit auf über 60 Millionen Webseiten eingesetzt. Dazu gehören so bekannte Seiten wie t3n, Techcrunch, das Informationsportal von SAP und das Weblog von Mozilla. Die Blogs bleiben so lange für DDoS-Attacken angreifbar, wie die XML-RPC-Schnittstelle im Blog aktiviert ist. Nach Analysen des LSOC gehen jedoch nur die wenigsten Blogbetreiber konsequent diesen Weg. Die Masse der Blogs ist weiterhin ungeschützt und angreifbar. Das stellt ein wachsendes DDoS-Sicherheitsrisiko dar, das IT-Security-Entscheider unbedingt auf der Agenda haben sollten. (fm)