Įsilaužėliai pradėjo išnaudoti didelio savijauto trūkumą, leidžiantį apeiti autentifikavimą „Ottokit“ (buvusiame „Suretriggers“) papildinyje „WordPress“ praėjus kelioms valandoms po viešo atskleidimo.
Vartotojams labai rekomenduojama atnaujinti į naujausią „Ottokit“/„SuretRriggers“ versiją, šiuo metu 1,0,79, išleistą mėnesio pradžioje.
„Ottokit WordPress“ papildinys leidžia vartotojams prisijungti prie papildinių ir išorinių įrankių, tokių kaip „WooCommerce“, „Mailchimp“ ir „Google“ lapai, automatizuokite užduotis, tokias kaip el. Laiškų siuntimas ir vartotojų pridėjimas, arba atnaujinti CRMS be kodo. Statistika rodo, kad produktas yra aktyvus 100 000 svetainių.
Vakar „WordFence“ atskleidė autentifikavimo aplinkkelio pažeidžiamumą „Ottokit“, nustatytą kaip CVE-2025-3102. Trūkumas daro įtaką visoms „Suretriggers“/„Ottokit“ versijoms iki 1,0,78.
Trūkumas kyla iš trūkstamos tuščios vertės patikrinimo Authenticate_user () Funkcija, kuri tvarko REST API autentifikavimą. Išnaudojimas yra įmanomas, jei papildinys nėra sukonfigūruotas naudojant API klavišą, dėl kurio kaupiama saugoma „Secret_key“ likti tuščias.
Šaltinis: „WordFence“
Užpuolikas galėjo tai išnaudoti išsiųsdamas tuščią ST_Authorizacija Antraštė, jei norite perduoti čekį ir suteikti neteisėtą prieigą prie apsaugotų API galinių taškų.
Iš esmės CVE-2025-3102 leidžia užpuolikams be autentifikavimo sukurti naujas administratoriaus paskyras, keliančias didelę visos vietos perėmimo riziką.
„WordFence“ gavo pranešimą apie saugumo tyrinėtojo „Mikemyers“, kuris uždirbo 1 024 USD už atradimą kovo viduryje, leidimą.
Papildinio pardavėjui buvo susisiekta balandžio 3 d. Su visa išnaudojimo informacija. Jie tą pačią dieną išleido taisymą per 1.0.79 versiją.
Tačiau įsilaužėliai greitai pasinaudojo proga išnaudoti problemą, pasinaudodami administratorių vėlavimu atnaujinti papildinį, kad išspręstų saugumo problemą.
„WordPress Security“ platformos „PatchStack“ tyrėjai įspėja, kad pirmieji bandymai išnaudoti gamtoje buvo užregistruoti tik praėjus kelioms valandoms po trūkumo atskleidimo.
„Užpuolikai greitai išnaudojo šį pažeidžiamumą. Pirmasis įrašytas bandymas įvyko praėjus vos keturioms valandoms po to, kai jis buvo įtrauktas kaip VPATCH į mūsų duomenų bazę“, – praneša „Patchstack“.
„Šis greitas išnaudojimas pabrėžia kritinį poreikį iškart pritaikyti pleistrus ar švelninimą, kai viešai atskleidžiama tokių pažeidžiamumų“, – sako tyrėjai.
Grėsmės aktoriai bando sukurti naujas administratoriaus paskyras naudodami atsitiktinių imčių vartotojo vardą/slaptažodį ir el. Pašto adresų derinį, užduočių automatizavimo ženklą.
Jei naudojate „Ottokit“/„Suretriggers“, kuo greičiau atnaujinkite į 1.0.79 versiją ir patikrinkite, ar nėra netikėtų administratorių paskyrų ar kitų vartotojo vaidmenų, papildinių/temų diegimo, duomenų bazės prieigos įvykių ir saugumo nustatymų modifikavimo.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
