Hackerii exploateaza o vulnerabilitate critica de escaladare a privilegiilor neautentificate in pluginul OttoKit WordPress pentru a crea conturi de administrator false pe site-urile vizate.
OttoKit (fostul SureTriggers) este un plugin de automatizare si integrare WordPress utilizat pe peste 100.000 de site-uri, permitand utilizatorilor sa conecteze site-urile lor la servicii terte si sa automatizeze fluxurile de lucru.
Patchstack a primit un raport despre o vulnerabilitate critica in OttoKit pe 11 aprilie 2025, de la cercetatorul Denver Jackson.
Defectul, denumit CVE-2025-27007, permite atacatorilor sa obtina acces de administrator prin intermediul API-ului pluginului, exploatand o eroare logica in functia ‘create_wp_connection’, ocolind verificarile de autentificare atunci cand parolele aplicatiei nu sunt setate.
Vanzatorul a fost informat a doua zi, iar un patch a fost lansat pe 21 aprilie 2025, cu versiunea OttiKit 1.0.83, adaugand o verificare de validare pentru cheia de acces folosita in cerere.
Pana pe 24 aprilie 2025, cei mai multi utilizatori de pluginuri fusesera actualizati fortat la versiunea reparata.
Patchstack si-a publicat raportul pe 5 mai 2025, dar o noua actualizare avertizeaza ca activitatea de exploatare a inceput aproximativ 90 de minute dupa divulgarea publica.
Atacatorii au incercat sa exploateze prin vizarea punctelor terminale ale API-ului REST, trimitand cereri imitand incercarile legitime de integrare, folosind ‘create_wp_connection’ cu nume de utilizatori de administrator ghicite sau fortate, parole aleatorii si chei de acces si adrese de email false.
Odata ce exploatarea initiala a fost reusita, atacatorii au emis apeluri API de urmarire la ‘/wp-json/sure-triggers/v1/automation/action’ si ‘?rest_route=/wp-json/sure-triggers/v1/automation/action,’ incluzand valoarea de incarcare: ‘type_event’: ‘create_user_if_not_exists’.
Pe instalatiile vulnerabile, acest lucru creeaza in mod tacit noi conturi de administrator.
‘Este foarte recomandat sa va actualizati site-ul cat mai curand posibil daca folositi pluginul OttoKit, si sa va revizuiti jurnalele si setarile site-ului pentru aceste semne de atac si compromitere,’ sugereaza Patchstack.
Aceasta este a doua vulnerabilitate critica in OttoKit pe care hackerii au exploatat-o din aprilie 2025, cu cea anterioara fiind o alta eroare de ocolire a autentificarii urmarita ca CVE-2025-3102.
Exploatarea acelei erori a inceput in aceeasi zi cu divulgarea, cu actorii de amenintare care au incercat sa creeze conturi de administrator false cu nume de utilizatori, parole si adrese de email aleatorii, indicand incercari automate.
Bazat pe o analiza a 14M de actiuni malitioase, descoperiti primele 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri si cum sa va aparati impotriva lor.
Hackerii exploateaza o vulnerabilitate de autentificare a pluginului WordPress la cateva ore dupa divulgare
SAP rezolva presupusa vulnerabilitate zero-day NetWeaver exploatata in atacuri
Administratorii WooCommerce sunt vizati de patch-uri de securitate false care preiau controlul site-urilor
Noul botnet Mirai din spatele cresterii exploatarea TVT DVR
Noul zero-day Ivanti SSRF acum sub exploatare in masa
Leave a Reply