Κυβερνοεγκληματίες εκμεταλλεύονται μια σοβαρή ευπάθεια κλιμάκωσης προνομίων στο WordPress plugin OttoKit, για να δημιουργούν ψεύτικους λογαριασμούς διαχειριστή σε ιστότοπους-στόχους.
Το OttoKit (προηγουμένως γνωστό ως SureTriggers) αποτελεί εργαλείο αυτοματοποίησης και διασύνδεσης για WordPress και χρησιμοποιείται σε πάνω από 100.000 ιστοσελίδες. Το plugin επιτρέπει στους διαχειριστές να συνδέουν την πλατφόρμα τους με εξωτερικές υπηρεσίες και να αυτοματοποιούν ροές εργασίας.
Στις 11 Απριλίου, η ομάδα ασφαλείας Patchstack ενημερώθηκε για μια κρίσιμη ευπάθεια στο OttoKit, έπειτα από αναφορά του ερευνητή Denver Jackson.
Δείτε επίσης: Scallywag: Νέα ad-fraud καμπάνια χρησιμοποιεί WordPress plugins
Το συγκεκριμένο σφάλμα (CVE-2025-27007) επιτρέπει στους εισβολείς να αποκτήσουν πρόσβαση διαχειριστή μέσω του API του plugin, εκμεταλλευόμενοι ένα logic error στο «create_wp_connection» function και παρακάμπτοντας τους ελέγχους ταυτότητας όταν δεν έχουν οριστεί application passwords.
Ο προμηθευτής του WordPress plugin ειδοποιήθηκε άμεσα, και στις 21 Απριλίου 2025 κυκλοφόρησε η έκδοση OttoKit 1.0.83, η οποία ενσωματώνει έλεγχο επικύρωσης για τα κλειδιά πρόσβασης. Μέχρι τις 24 Απριλίου, οι περισσότεροι χρήστες είχαν ήδη λάβει υποχρεωτικά τη νέα, ασφαλέστερη έκδοση.
Ωστόσο, η εκμετάλλευση της ευπάθειας ξεκίνησε ελάχιστα λεπτά μετά τη δημοσιοποίηση της έκθεσης της Patchstack στις 5 Μαΐου.
Οι επιτιθέμενοι αξιοποίησαν την ευπάθεια στοχεύοντας REST API endpoints, αποστέλλοντας αιτήματα που έμοιαζαν με έγκυρες απόπειρες σύνδεσης υπηρεσιών, χρησιμοποιώντας ‘create_wp_connection’ με brute-forced administrator usernames, random passwords και πλαστά κλειδιά πρόσβασης και διευθύνσεις email.
Δείτε επίσης: Ευπάθεια WordPress Plugin με 100.000+ εγκαταστάσεις αξιοποιείται ενεργά
Αν η αρχική προσπάθεια είχε αποτέλεσμα, ακολουθούσαν επιπλέον αιτήματα API στις διευθύνσεις /wp-json/sure-triggers/v1/automation/action και ?rest_route=/wp-json/sure-triggers/v1/automation/action, συμπεριλαμβανομένου του payload value: “type_event”: “create_user_if_not_exists. Σε ευάλωτες ιστοσελίδες, αυτή η διαδικασία οδηγούσε στη σιωπηλή δημιουργία νέων λογαριασμών διαχειριστή, χωρίς να γίνει αντιληπτή από τον ιδιοκτήτη.
Η ομάδα ασφαλείας Patchstack συνιστά έντονα στους διαχειριστές που χρησιμοποιούν το OttoKit να προχωρήσουν άμεσα σε ενημέρωση του plugin και να ελέγξουν προσεκτικά τα logs και τις ρυθμίσεις για ενδείξεις πιθανής παραβίασης.
Πρόκειται για το δεύτερο σοβαρό κενό ασφαλείας στο OttoKit που εκμεταλλεύονται χάκερ μέσα σε σύντομο χρονικό διάστημα. Το προηγούμενο πρόβλημα (CVE-2025-3102), επίσης αφορούσε την παράκαμψη του μηχανισμού ταυτοποίησης.
Ασφάλεια WordPress
Η ασφάλεια των ιστότοπων WordPress απαιτεί μια πολύπλευρη προσέγγιση για την προστασία από πιθανές απειλές. Μία από τις βασικές στρατηγικές περιλαμβάνει την τακτική ενημέρωση plugins και των θεμάτων για να διασφαλιστεί ότι τυχόν ευπάθειες ασφαλείας έχουν διορθωθεί. Η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Επιπλέον, η τακτική δημιουργία αντιγράφων ασφαλείας του ιστότοπού σας μπορεί να προστατεύσει τα δεδομένα σε περίπτωση επίθεσης.
Δείτε επίσης: WordPress: Hackers καταχρώνται τα mu-plugins για επιθέσεις
Συνιστάται επίσης να εγκαταστήσετε ένα ισχυρό security plugin που προσφέρει λειτουργίες όπως προστασία firewall, σάρωση κακόβουλου λογισμικού και πρόληψη επιθέσεων brute force.
Πηγή: www.bleepingcomputer.com
