162 000 сайтов на Wordpress стали жертвами атаки

162 000 сайтов на Wordpress стали жертвами атаки

Пользователи популярной системы управления контентом Wordpress получили проблему, связанную с багом в продукте. При помощи бага потенциальные атакующие могут организовывать крупномасштабные DDoS-атаки. По данным секьюрити-компании Sucuri, в интернете уже около 162 000 сайтов были вовлечены в атаки из-за указанного бага. Как рассказали в компании, баг позволяет вынудить CMS начать отправлять сотни пакетов в секунду по заданному адресу, что приводит к блокированию доступа к ресурсу.



Атака опирается на проблему в XML-RPC (XML remote procedure call) в Wordpress. XML-RPC используется для служебного, сервисного или мобильного доступа к платформе. В Sucuri говорят, что сама по себе архитектура XML-RPC содержит ряд фундаментальных проблем и с 2007 года здесь уже не единожды обрнаруживались проблемы подобного рода. Дэниель Сид, технический директор Sucuri, говорит, что по умолчанию XML-RPC используется в современных версиях Wordpress и этот же инструмент позволяет организовать DDoS-атаку, сообщает cybersecurity.ru.

Сид говорит, что большая часть Wordpress-сайтов использует систему кеширования в работе - то есть сервер не генерирует каждый раз с нуля веб-страницы для каждого клиента, а предлагает им кеш. Таким образом, XML-RPC вызывается не всегда, а лишь периодически, что несколько снижает градус опасности, но не ликвидирует его как таковой.

Минцифры хотят официально назначить ответственным за сайты правительства

Минцифры России может официально стать ведомством, которое отвечает за развитие сайтов и других интернет-ресурсов правительства. Такой проект постановления вынесли на общественное обсуждение. Объясняется тем, что Минцифры и так уже занимается этой работой, но формально полномочия за ведомством не закреплены.

А без бумажки, как водится, даже развитие правительственных сайтов может двигаться медленнее, чем хотелось бы.

В пояснительной записке говорится, что отсутствие официального статуса мешает оперативно реализовывать мероприятия по развитию интернет-ресурсов правительства.

При этом техническая инфраструктура остаётся за ФСО России. Именно ФСО указана оператором, который обеспечивает функционирование информационно-телекоммуникационной инфраструктуры для размещения официальных сайтов и других интернет-ресурсов правительства.

Отдельно в документах напоминают, что приказом ФСО от 20 января 2020 года центр специальной связи и информации службы отвечает за поддержание, эксплуатацию, развитие и информационную безопасность российского государственного сегмента интернета — RSNet.

Иными словами, расклад предлагают сделать более официальным: Минцифры — за развитие правительственных сайтов, ФСО — за инфраструктуру и безопасность.

Бюрократически звучит сухо, но по сути речь о том, чтобы закрепить уже сложившуюся схему и убрать подвешенное состояние, когда работа есть, а полномочия оформлены не до конца.

RSS: Новости на портале Anti-Malware.ru