Команда дослідників кібербезпеки Patchstack виявила критичну вразливість у популярному WordPress-плагіні OttoKit (раніше відомому як SureTriggers), яка активно експлуатується зловмисниками. Вразливість дозволяє створювати облікові записи адміністраторів на вражених сайтах без належної авторизації, що становить серйозну загрозу для більш ніж 100 000 активних веб-ресурсів.
Технічний аналіз вразливості
Виявлена вразливість (CVE-2025-27007) пов’язана з логічною помилкою в функції create_wp_connection, що дозволяє обійти механізми автентифікації. Критичність ситуації посилюється широким розповсюдженням плагіну OttoKit, який забезпечує функціонал автоматизації та інтеграції з зовнішніми сервісами. Особливо небезпечним є те, що експлуатація вразливості можлива навіть за відсутності встановленого пароля додатку.
Особливості проведення атак
Зловмисники використовують REST API плагіну для проведення атак, надсилаючи спеціально сформовані запити, які імітують легітимні спроби інтеграції. Процес експлуатації включає використання підібраних логінів адміністраторів, випадкових паролів та підроблених ключів доступу. Після успішного проникнення атакуючі виконують додаткові API-виклики для створення нових адміністративних облікових записів.
Як виявити ознаки атаки
Основними індикаторами компрометації є підозрілі запити до ендпоінтів /wp-json/sure-triggers/v1/automation/action та параметру rest_route. Особливу увагу слід звернути на запити, що містять payload з “type_event”: “create_user_if_not_exists”. Адміністраторам рекомендується регулярно перевіряти системні журнали на наличність такої активності.
Рекомендації щодо захисту
Розробники випустили оновлення безпеки у версії OttoKit 1.0.83, яке впроваджує обов’язкову валідацію ключів доступу при обробці запитів. Критично важливо оновити плагін до актуальної версії та провести ретельний аудит системних журналів для виявлення можливих ознак компрометації.
Враховуючи, що це вже друга критична вразливість в OttoKit з початку квітня 2025 року (після CVE-2025-3102), рекомендується впровадити комплексний підхід до забезпечення безпеки WordPress-сайтів. Це включає налаштування автоматичного оновлення компонентів, регулярний моніторинг підозрілої активності та використання додаткових засобів захисту, таких як Web Application Firewall (WAF) та системи виявлення вторгнень (IDS).
