Οι χάκερ εκμεταλλεύονται ένα κρίσιμο μη αυθεντικό ευπάθεια κλιμάκωσης προνομίων στο Plugin Ottokit WordPress για να δημιουργήσουν λογαριασμούς διαχειριστή Rogue σε στοχευμένους ιστότοπους.
Το Ottokit (πρώην Suretriggers) είναι ένα plugin αυτοματισμού WordPress και ενσωμάτωσης που χρησιμοποιείται σε πάνω από 100.000 ιστότοπους, επιτρέποντας στους χρήστες να συνδέσουν τις ιστοσελίδες τους με υπηρεσίες τρίτων και να αυτοματοποιούν τις ροές εργασίας.
Η PatchStack έλαβε μια έκθεση σχετικά με μια κρίσιμη ευπάθεια στο Ottokit στις 11 Απριλίου 2025, από τον ερευνητή Ντένβερ Τζάκσον.
Το ελάττωμα, που παρακολουθείται κάτω από το αναγνωριστικό CVE-2025-27007, επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση διαχειριστή μέσω του API του plugin, εκμεταλλευόμενοι ένα σφάλμα λογικής στη λειτουργία “create_wp_connection”, παρακάμπτοντας τους ελέγχους ελέγχου ταυτότητας όταν δεν έχουν οριστεί οι κωδικοί πρόσβασης εφαρμογών.
Ο πωλητής ενημερώθηκε την επόμενη μέρα και ένα έμπλαστρο κυκλοφόρησε στις 21 Απριλίου 2025, με την Ottikit έκδοση 1.0.83, προσθέτοντας έλεγχο επικύρωσης για το κλειδί πρόσβασης που χρησιμοποιήθηκε στο αίτημα.
Μέχρι τις 24 Απριλίου 2025, οι περισσότεροι χρήστες του plugin είχαν ενημερωθεί για την patched έκδοση.
Τώρα εκμεταλλεύτηκε σε επιθέσεις
Δημοσιεύθηκε το PatchStack αναφορά Στις 5 Μαΐου 2025, αλλά προειδοποιεί μια νέα ενημέρωση ότι η δραστηριότητα εκμετάλλευσης ξεκίνησε περίπου 90 λεπτά μετά τη δημόσια αποκάλυψη.
Οι επιτιθέμενοι απόπειρα εκμετάλλευσης με στόχο τα τελικά σημεία API REST, την αποστολή αιτήσεων που μιμούνται τις νόμιμες προσπάθειες ολοκλήρωσης, χρησιμοποιώντας το “create_wp_connection” με εικασμένα ή βίαινα ονόματα χρήστη διαχειριστή, τυχαίους κωδικούς πρόσβασης και ψεύτικα πλήκτρα πρόσβασης και διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Μόλις η αρχική εκμετάλλευση ήταν επιτυχής, οι επιτιθέμενοι έδωσαν κλήσεις API παρακολούθησης σε ‘/wp-json/sure-triggers/v1/automation/action’ και ‘rest_route =/wp-json/sure-triggers/v1/automation/action’ ‘
Σε ευάλωτες εγκαταστάσεις, αυτό δημιουργεί σιωπηλά νέους λογαριασμούς διαχειριστή.
“Συνιστάται έντονα η ενημέρωση του ιστότοπού σας το συντομότερο δυνατό εάν χρησιμοποιείτε το plugin Ottokit και για να αναθεωρήσετε τα αρχεία καταγραφής και τις ρυθμίσεις του ιστότοπού σας για αυτούς τους δείκτες επίθεσης και συμβιβασμού”, προτείνει η PatchStack.
Αυτό είναι το δεύτερο ελάττωμα της κρίσιμης σοβαρότητας στο Ottokit που έχουν εκμεταλλευτεί οι χάκερ από τον Απρίλιο του 2025, με το προηγούμενο να είναι ένα άλλο σφάλμα παράκαμψης ελέγχου ταυτότητας που παρακολουθείται ως CVE-2025-3102.
Η εκμετάλλευση αυτού του ελαττώματος ξεκίνησε την ίδια ημέρα αποκάλυψης, με τους ηθοποιούς απειλής να προσπαθούν να δημιουργήσουν λογαριασμούς Rogue Administrator με τυχαιοποιημένα ονόματα χρήστη, κωδικούς πρόσβασης και διευθύνσεις ηλεκτρονικού ταχυδρομείου, υποδεικνύοντας αυτοματοποιημένες προσπάθειες.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
