漏洞背景:OttoKit插件曝雙漏洞,超10萬網站面臨風險
OttoKit(原名SureTriggers)是一款WordPress自動化集成插件,允許用户將網站與第三方服務連接並實現工作流自動化,目前活躍安裝量超過10萬。然而,2025年4月至5月期間,該插件連續曝出兩個高危漏洞(CVE-2025-27007 和 CVE-2025-3102),均涉及權限提升問題,可讓攻擊者在未授權的情況下創建管理員賬户,完全控制目標網站。
安全廠商Patchstack和Wordfence監測到,黑客自2025年5月初開始大規模利用這兩個漏洞,部分攻擊甚至在漏洞公開後90分鐘內就已出現。由於OttoKit用户基數龐大,受影響網站需立即採取行動,否則可能面臨數據泄露、惡意代碼注入等嚴重後果。
漏洞詳情:黑客如何利用邏輯缺陷接管網站?
1. CVE-2025-27007(CVSS 9.8):未授權API提權漏洞
該漏洞影響OttoKit 1.0.82及更早版本,核心問題在於create_wp_connection()函數存在邏輯缺陷,未正確驗證用户權限。攻擊者可利用此漏洞在以下兩種情況下獲取管理員權限:
- 網站從未啓用應用密碼(Application Password),且OttoKit未通過該方式連接過網站。
- 攻擊者已掌握低權限賬户,並能生成有效應用密碼。
攻擊流程:
- 黑客向OttoKit的REST API端點發送偽造請求,模仿合法集成操作。
- 利用
create_wp_connection函數繞過認證,建立惡意連接。 - 隨後調用
/wp-json/sure-triggers/v1/automation/action接口,提交"type_event": "create_user_if_not_exists"參數,靜默創建管理員賬户。
2. CVE-2025-3102(CVSS 8.1):認證繞過漏洞(4月已遭利用)
該漏洞同樣允許攻擊者創建惡意管理員賬户,但利用方式略有不同。黑客通過自動化腳本嘗試暴力破解或猜測管理員用户名,結合隨機密碼和偽造郵箱完成賬户創建。
關鍵問題:
- 兩個漏洞可被組合利用,攻擊者先嚐試CVE-2025-27007,失敗後再測試CVE-2025-3102。
- 漏洞利用過程高度自動化,攻擊IP通常來自殭屍網絡或雲服務器。
攻擊態勢:黑客如何大規模掃描併入侵網站?
1. 漏洞公開後90分鐘內即遭利用
Patchstack於2025年5月5日發佈漏洞公告,但監測顯示,攻擊者在公告發布後91分鐘就開始嘗試入侵。Wordfence進一步發現,5月2日已有試探性攻擊,5月4日進入大規模利用階段。
2. 攻擊IP與攻擊模式分析
監測到的攻擊IP包括:
2a0b:4141:820:1f4::2
41.216.188.205
144.91.119.115
194.87.29.57
196.251.69.118
107.189.29.12
205.185.123.102
198.98.51.24
198.98.52.226
199.195.248.147
攻擊特徵:
- 攻擊者向
/wp-json/sure-triggers/相關API發送大量請求。 - 部分請求包含
create_user_if_not_exists參數,嘗試創建管理員賬户。 - 部分IP同時掃描其他WordPress插件漏洞,表明攻擊者可能屬於自動化殭屍網絡。
3. 受影響網站可能面臨的後果
- 後門賬户:黑客創建隱藏的管理員賬户,長期控制網站。
- 數據泄露:獲取數據庫訪問權限,竊取用户信息。
- 惡意代碼注入:植入SEO垃圾鏈接、釣魚頁面或勒索軟件。
- 供應鏈攻擊:如果網站屬於企業或電商平台,可能影響下游用户。
修復方案:如何保護網站免受攻擊?
1. 立即更新OttoKit插件
官方已在1.0.83版本修復漏洞,用户應:
- 進入WordPress後台 → 插件 → 檢查OttoKit是否已自動更新。
- 如未更新,手動安裝最新版(可從WordPress插件庫或廠商官網下載)。
2. 檢查是否已被入侵
- 審查用户列表:查看是否有異常的管理員賬户(尤其是近期創建的)。
- 檢查網站日誌:搜索
/wp-json/sure-triggers/相關請求,確認是否有攻擊嘗試。 - 使用安全插件掃描:如Wordfence、Sucuri等,檢測後門或惡意代碼。
3. 增強WordPress安全防護
- 啓用Web應用防火牆(WAF):可攔截惡意API請求。
- 禁用未使用的REST API端點:減少攻擊面。
- 強制使用強密碼+雙因素認證(2FA):降低暴力破解風險。
如果您的網站仍在運行OttoKit 1.0.82或更早版本,請立即更新,否則極可能成為下一個受害者!
發表回覆