Non appena viene inviata la richiesta di cui sopra, l’host vittima (115.97.xxx.67 tunneling tramite ngrok) ottiene una voce nel suo file di registro con una richiesta proveniente dal dominio WordPress che verifica il ping-back. Che può essere visto nello screenshot qui sopra.
Impatto
Questo può essere automatizzato da più host ed essere utilizzato per causare un attacco DDoS di massa sulla vittima. Questo metodo viene utilizzato anche per attacchi di forza bruta per rubare le credenziali di amministratore e altre credenziali importanti.
Inoltre, ci sono molti POC in giro per il Web riguardanti le vulnerabilità associate a XMLRPC.php nei siti Web wordpress, alcuni di questi sono:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
Come disabilitare WordPress XML-RPC
È possibile disabilitare XML-RPC utilizzando il file .htaccess o un plugin. .htaccess è un file di configurazione che è possibile creare e modificare.
Basta incollare il seguente codice nel file .htaccess trovato nella cartella public_html :
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
Questo dovrebbe disabilitare XML-RPC sul tuo sito WordPress.
Vale la pena ricordare qui che Plugin come Remove XML-RPC Pingback Ping plugin consente di disattivare solo la funzione di pingback del tuo sito. Non è necessario disabilitare completamente XML-RPC.
Poiché molte app e plugin popolari utilizzano XML-RPC per eseguire alcune delle proprie funzioni. In tal caso, potresti considerare di abilitare solo alcune parti di XML-RPC di cui hai bisogno per eseguire correttamente i tuoi plugin.
Post sul blog scritto da Eshaan Bansal.
