OttoKit(原名 SureTriggers)WordPress 插件曝高危漏洞:黑客大规模创建恶意管理员账户

漏洞背景:OttoKit 插件曝双漏洞,超 10 万网站面临风险

OttoKit(原名 SureTriggers) 是一款 WordPress 自动化集成插件,允许用户将网站与第三方服务连接并实现工作流自动化,目前活跃安装量超过 10 万。然而,2025 年 4 月至 5 月期间,该插件连续曝出两个高危漏洞 (CVE-2025-27007CVE-2025-3102),均涉及权限提升问题,可让攻击者在未授权的情况下创建管理员账户,完全控制目标网站。

安全厂商 Patchstack 和 Wordfence 监测到,黑客自 2025 年 5 月初开始大规模利用这两个漏洞,部分攻击甚至在漏洞公开后 90 分钟内就已出现。由于 OttoKit 用户基数庞大,受影响网站需立即采取行动,否则可能面临数据泄露、恶意代码注入等严重后果。

漏洞详情:黑客如何利用逻辑缺陷接管网站?

1. CVE-2025-27007(CVSS 9.8):未授权 API 提权漏洞

该漏洞影响 OttoKit 1.0.82 及更早版本,核心问题在于 create_wp_connection()函数存在逻辑缺陷,未正确验证用户权限。攻击者可利用此漏洞在以下两种情况下获取管理员权限:

  • 网站从未启用应用密码 (Application Password),且 OttoKit 未通过该方式连接过网站。
  • 攻击者已掌握低权限账户,并能生成有效应用密码。

攻击流程:

  1. 黑客向 OttoKit 的 REST API 端点发送伪造请求,模仿合法集成操作。
  2. 利用 create_wp_connection 函数绕过认证,建立恶意连接。
  3. 随后调用/wp-json/sure-triggers/v1/automation/action 接口,提交"type_event": "create_user_if_not_exists"参数,静默创建管理员账户

2. CVE-2025-3102(CVSS 8.1):认证绕过漏洞 (4 月已遭利用)

该漏洞同样允许攻击者创建恶意管理员账户,但利用方式略有不同。黑客通过自动化脚本尝试暴力破解或猜测管理员用户名,结合随机密码和伪造邮箱完成账户创建。

关键问题:

  • 两个漏洞可被组合利用,攻击者先尝试 CVE-2025-27007,失败后再测试 CVE-2025-3102 。
  • 漏洞利用过程高度自动化,攻击 IP 通常来自僵尸网络或云服务器。

攻击态势:黑客如何大规模扫描并入侵网站?

1. 漏洞公开后 90 分钟内即遭利用

Patchstack 于 2025 年 5 月 5 日发布漏洞公告,但监测显示,攻击者在公告发布后 91 分钟就开始尝试入侵。 Wordfence 进一步发现,5 月 2 日已有试探性攻击,5 月 4 日进入大规模利用阶段。

2. 攻击 IP 与攻击模式分析

监测到的攻击 IP 包括:

2a0b:4141:820:1f4::2  
41.216.188.205  
144.91.119.115  
194.87.29.57  
196.251.69.118  
107.189.29.12  
205.185.123.102  
198.98.51.24  
198.98.52.226  
199.195.248.147


攻击特征:

  • 攻击者向/wp-json/sure-triggers/相关 API 发送大量请求。
  • 部分请求包含 create_user_if_not_exists 参数,尝试创建管理员账户。
  • 部分 IP 同时扫描其他 WordPress 插件漏洞,表明攻击者可能属于自动化僵尸网络。

3. 受影响网站可能面临的后果

  1. 后门账户:黑客创建隐藏的管理员账户,长期控制网站。
  2. 数据泄露:获取数据库访问权限,窃取用户信息。
  3. 恶意代码注入:植入 SEO 垃圾链接、钓鱼页面或勒索软件。
  4. 供应链攻击:如果网站属于企业或电商平台,可能影响下游用户。

修复方案:如何保护网站免受攻击?

1. 立即更新 OttoKit 插件

官方已在 1.0.83 版本修复漏洞,用户应:

  • 进入 WordPress 后台 → 插件 → 检查 OttoKit 是否已自动更新。
  • 如未更新,手动安装最新版 (可从 WordPress 插件库或厂商官网下载) 。

2. 检查是否已被入侵

  • 审查用户列表:查看是否有异常的管理员账户 (尤其是近期创建的) 。
  • 检查网站日志:搜索/wp-json/sure-triggers/相关请求,确认是否有攻击尝试。
  • 使用安全插件扫描:如 Wordfence 、 Sucuri 等,检测后门或恶意代码。

3. 增强 WordPress 安全防护

  • 启用 Web 应用防火墙 (WAF):可拦截恶意 API 请求。
  • 禁用未使用的 REST API 端点:减少攻击面。
  • 强制使用强密码+双因素认证 (2FA):降低暴力破解风险。

如果您的网站仍在运行 OttoKit 1.0.82 或更早版本,请立即更新,否则极可能成为下一个受害者!

发表评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注