Поделиться
Четверть всех мировых сайтов можно отключить благодаря новой ошибке
Исследователь в области информационной безопасности из компании Salesforce Нир Голдшлейгер опубликовал в блоге Break Security сообщение об обнаруженной в платформах для управления сайтами Worldpress и Drupal опасной уязвимости. По словам эксперта, ошибка позволяет организовать DDoS-атаку на любой сайт, работающий под управлением этих систем, и вывести его из строя почти мгновенно.
По словам Голдшлейгера, уязвимость содержится в версиях версиях WordPress 3.5-3.9 и Drupal 6.x-7.x, включая самые свежие версии.
В статистике организации W3C говорится, что WordPress является самой популярной в мире системой управления сайтом - на ее базе работают почти 23 процента всех сайтов. Доля Drupal существенно ниже и составляет лишь два процента. Суммарно под управлением обеих систем работают почти четверть интернет-сайтов во всем мире.
Для того чтобы использовать обнаруженную уязвимость, хакерам достаточно использовать специальным образом сформированный XML-документ, который после обработки на атакуемом сервере увеличивается в размере с сотен килобайт до нескольких десятков гигабайт, занимая всю оперативную память и провоцируя аварийное отключение.
В качестве доказательства Нир Голдшлейгер опубликовал в блоге видео, где продемонстрировал, как работает тестовая атака, эксплуатирующая обнаруженную ошибку. В ролике видно, как нагрузка на сайт многократно вырастает в течение нескольких секунд, после того как он запускает вредоносный код.
В настоящее время разработчики Worldpress и Drupal уже выпустили обновления, устраняющие уязвимость. Всем владельцам сайтов, работающим под управлением этих систем, рекомендуется обновить "движки" в самые короткие сроки.