Un pingback es uno de los cuatro tipos de métodos de linkback para que los autores web soliciten una notificación cuando alguien se vincula a uno de sus documentos. Esto permite a los autores realizar un seguimiento de quién está enlazando o haciendo referencia a sus artículos. Algunos software de weblog y sistemas de gestión de contenido , como WordPress , Movable Type , Serendipity y Telligent Community , admiten pingbacks automáticos en los que se puede hacer ping a todos los enlaces de un artículo publicado cuando se publica el artículo. Otros sistemas de gestión de contenido, como Drupal yJoomla , admite pingbacks mediante el uso de complementos o extensiones.
Básicamente, un pingback es una solicitud XML-RPC (que no debe confundirse con un ping ICMP ) enviada desde el Sitio A al Sitio B, cuando un autor del blog en el Sitio A escribe una publicación que enlaza con el Sitio B. La solicitud incluye el URI de la página de enlace. Cuando el Sitio B recibe la señal de notificación, automáticamente regresa al Sitio A para verificar la existencia de un enlace entrante activo. Si ese enlace existe, el pingback se registra con éxito. Esto hace que los pingbacks sean menos propensos al spam que los trackbacks . Los recursos habilitados para pingback deben usar un encabezado X-Pingback o contener un elemento para el script XML-RPC.
Exploits
En marzo de 2014, Akamai publicó un informe sobre un exploit ampliamente visto que involucraba a Pingback y que apunta a sitios vulnerables de WordPress . [1] Este exploit condujo a un abuso masivo de blogs y sitios web legítimos y los convirtió en participantes involuntarios en un ataque DDoS . [2] Los detalles sobre esta vulnerabilidad se han publicado desde 2012. [3]
Los ataques de pingback consisten en "reflexión" y "amplificación": un atacante envía un pingback a un Blog A legítimo, pero proporciona información del Blog B legítimo ( suplantación ). [4] Luego, el Blog A necesita verificar la existencia del enlace informado en el Blog B, ya que así es como funciona el protocolo pingback y, por lo tanto, descarga la página del servidor del Blog B, lo que provoca un reflejo . [4] Si la página de destino es grande, esto amplifica el ataque, porque una pequeña solicitud enviada al Blog A hace que realice una gran solicitud al Blog B. [4] Esto puede llevar a amplificaciones 10x, 20x e incluso mayores ( DoS ). [4] Incluso es posible usar múltiples reflectores, para evitar agotar cada uno de ellos, y usar la potencia de amplificación combinada de cada uno para agotar el Blog B objetivo, ya sea sobrecargando el ancho de banda o la CPU del servidor ( DDoS ). [4]
Wordpress cambió un poco la forma en que funciona la función pingback para mitigar este tipo de vulnerabilidad: la dirección IP que originó el pingback (la dirección del atacante) comenzó a registrarse y, por lo tanto, se muestra en el registro. [5] No obstante, en 2016, los ataques pingback continuaron existiendo, supuestamente porque los propietarios del sitio web no verifican los registros del agente de usuario, que tienen las direcciones IP reales. [5] [4] Debe tenerse en cuenta que, si el atacante es más que un script kiddie , sabrá cómo evitar que se registre su dirección IP, por ejemplo, enviando la solicitud desde otra máquina / sitio, por lo que que esta dirección IP de la máquina / sitio se registra en su lugar, y el registro de IP entonces, se vuelve menos valioso. [6] Por lo tanto, todavía se recomienda deshabilitar los pingbacks, para evitar atacar otros sitios (aunque esto no evita ser objetivo de ataques). [5]
Ver también
- Webmention , una reimplementación moderna de PingBack usando HTTP y datos POST codificados por x-www-urlencoded.
- Linkback , el conjunto de protocolos que permite que los sitios web se vinculen entre sí de forma manual y automática.
- Refback , un protocolo similar pero más fácil que los Pingbacks, ya que el sitio que origina el enlace no tiene que ser capaz de enviar un Pingback.
- Trackback , un protocolo similar pero más propenso al spam.
- Optimización de motores de búsqueda
Referencias
- ^ Brenner, Bill. "Anatomía de los ataques de pingback XML-RPC de Wordpress" . El blog de Akamai, 31 de marzo de 2014 5:42 a . M. Consultado el 7 de julio de 2014 .
- ^ Cid, Daniel. "Más de 162.000 sitios de WordPress utilizados para ataques distribuidos de denegación de servicio" . Blog de Sucuri, 10 de marzo de 2014 . Consultado el 7 de julio de 2014 .
- ^ Calin, Bogdan. "Vulnerabilidad de WordPress Pingback" . Accunetix, 17 de diciembre de 2012-13: 17 h . Consultado el 7 de julio de 2014 .
- ^ a b c d e f Krassi Tzvetanov (4 de mayo de 2016). "Ataque pingback de WordPress" . Redes A10 . Consultado el 2 de febrero de 2017 .
Este problema surge del hecho de que es posible que un atacante A se haga pasar por el blog de T conectándose al blog de R y enviando una notificación de enlace que especifica el blog de T como el origen de la notificación. En ese momento, K intentará conectarse automáticamente a T para descargar la publicación del blog. A esto se le llama reflexión. Si el atacante tuviera cuidado de seleccionar una URL que contenga mucha información, esto provocaría una amplificación. En otras palabras, para una solicitud relativamente pequeña del atacante (A) al reflector, el reflector (R) se conectará al objetivo (T) y provocará una gran cantidad de tráfico. [...] En el lado del reflector para la solicitud de 200 bytes, la respuesta puede ser fácilmente miles de bytes, lo que da como resultado una multiplicación que comienza en 10x, 20x y más. [...] Para evitar sobrecargar el reflector, se pueden emplear múltiples reflectores para escalar. Por lo tanto, el objetivo tendrá su ancho de banda saliente, y posiblemente los recursos de cómputo, agotados. [...] Otro punto a considerar son los recursos informáticos vinculados al lado de destino. Si está considerando una página que es computacionalmente costosa de producir, puede ser más eficiente para el atacante sobrecargar la CPU de un sistema en comparación con el ancho de banda de la conexión. [...] Esta no es la primera vez que un CMS, y en particular WordPress, se utiliza para DDoS u otra actividad maliciosa. En gran medida, esto se debe a que WordPress atrae a los usuarios que no tienen los recursos para administrar sus sitios web y, a menudo, usan WordPress para facilitar su trabajo. Como resultado, muchos usuarios no tienen un programa de administración de parches adecuado o un monitoreo adecuado para observar irregularidades en su tráfico.
- ^ a b c Daniel Cid (17 de febrero de 2016). "Sitios de WordPress aprovechados en campañas DDoS de capa 7" . Sucuri . Consultado el 2 de febrero de 2017 .
A partir de la versión 3.9, WordPress comenzó a registrar la dirección IP de donde se originó la solicitud de pingback. Eso disminuyó el valor de usar WordPress como parte de un ataque; la plataforma ahora registraría la dirección IP original de los atacantes y aparecería en el agente de usuario de registro. [...] A pesar de la posible reducción de valor con el registro de IP, los atacantes siguen utilizando esta técnica. Probablemente porque los propietarios de sitios web rara vez verifican los registros del agente de usuario para obtener la dirección IP real de los visitantes. [...] Aunque es genial que WordPress esté registrando la dirección IP del atacante en versiones más recientes, aún recomendamos que desactive los pingbacks en su sitio. No lo protegerá de ser atacado, pero evitará que su sitio ataque a otros.
- ^ Tim Butler (25 de noviembre de 2016). "Análisis de un ataque DDOS Pingback de WordPress" . Conetix . Consultado el 2 de febrero de 2017 .
Una mejora que WordPress agregó a los pingbacks en 3.7, que al menos rastreaba la IP de origen de la solicitud. Si bien esto no resuelve el problema, al menos le permite rastrear de dónde provienen las llamadas. Sin embargo, a menos que el atacante sea muy, muy ingenuo, esta IP simplemente se remontará a otra máquina o sitio infectado. Generalmente, estos sistemas de solicitud son parte de una botnet para enmascarar y distribuir las solicitudes. [...] La herramienta pingback dentro de WordPress sigue siendo un sistema explotable para cualquier sitio de WordPress que no lo haya detenido explícitamente. Desde la perspectiva de un proveedor de alojamiento web, esto es bastante frustrante.
enlaces externos
- Documentación: Trackbacks / Pingbacks en Serendipity
- Especificaciones del Codex de WordPress
- Especificaciones de pingback