Bilgisayar korsanları, hedeflenen sitelerde haydut yönetici hesapları oluşturmak için Ottokit WordPress eklentisindeki kritik bir yetkili ayrıcalık artış kırılganlığından yararlanıyor.
Ottokit (eski adıyla Suretriggers), 100.000’den fazla sitede kullanılan bir WordPress otomasyonu ve entegrasyon eklentisidir ve kullanıcıların web sitelerini üçüncü taraf hizmetlere bağlamasına ve iş akışlarını otomatikleştirmelerine olanak tanır.
Patchstack, 11 Nisan 2025’te araştırmacı Denver Jackson’dan Ottokit’te kritik bir güvenlik açığı hakkında bir rapor aldı.
CVE-2025-27007 tanımlayıcısı altında izlenen kusur, saldırganların ‘create_wp_connection’ işlevindeki bir mantık hatasını kullanarak eklentinin API’si aracılığıyla yönetici erişimi kazanmasına izin verir ve uygulama şifreleri ayarlanmadığında kimlik doğrulama kontrollerini atlar.
Satıcı ertesi gün bilgilendirildi ve 21 Nisan 2025’te Ottikit sürüm 1.0.83 ile bir yama yayınlandı ve istekte kullanılan erişim anahtarı için bir doğrulama kontrolü eklendi.
24 Nisan 2025’e kadar, çoğu eklenti kullanıcısı yamalı versiyona zorlanmıştı.
Şimdi saldırılarda sömürüldü
Patchstack raporunu 5 Mayıs 2025 tarihli yayınladı, ancak yeni bir güncelleme, sömürü faaliyetinin kamuoyunun açıklamasından yaklaşık 90 dakika sonra başladığı konusunda uyarıyor.
Saldırganlar, istirahat API uç noktalarını hedefleyerek, meşru entegrasyon girişimlerini taklit eden istekleri göndererek, tahmin edilen veya kaba güçlendirilmiş yönetici kullanıcı adları, rastgele şifreler ve sahte erişim anahtarları ve e-posta adresleriyle kullanılarak sömürü denedi.
İlk istismar başarılı olduktan sonra, saldırganlar ‘/wp-json/emin trejer/v1/otomasyon/eylem’ ve ‘? Rest_route =/wp-json/emin trajerler/v1/otomasyon/eylem,’ dahil olmak üzere, “type_event”: “create_user_f_not_exists.”
Savunmasız kurulumlarda, bu sessizce yeni yönetici hesapları oluşturur.
PatchTack, “Ottokit eklentisini kullanıyorsanız, sitenizi mümkün olan en kısa sürede güncellemeniz ve bu saldırı ve uzlaşma göstergeleri için günlüklerinizi ve site ayarlarınızı gözden geçirmeniz şiddetle tavsiye edilir.”
Bu, Hacker’ların Nisan 2025’ten beri sömürdüğü Ottokit’te ikinci kritik şiddet kusuru, bir öncekinin CVE-2025-3102 olarak izlenen başka bir kimlik doğrulama baypas hatası.
Bu kusurun sömürülmesi, aynı açıklama gününde başladı ve tehdit aktörleri, otomatik denemeleri gösteren randomize kullanıcı adları, şifreler ve e -posta adresleri ile haydut yönetici hesapları oluşturmaya çalıştı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.