OttoKit（原名 SureTriggers）WordPress 插件曝高危漏洞：黑客大規模創建惡意管理員賬户

漏洞背景：OttoKit 插件曝雙漏洞，超 10 萬網站面臨風險

OttoKit（原名 SureTriggers） 是一款 WordPress 自動化集成插件，允許用户將網站與第三方服務連接並實現工作流自動化，目前活躍安裝量超過 10 萬。然而，2025 年 4 月至 5 月期間，該插件連續曝出兩個高危漏洞 （CVE-2025-27007 和 CVE-2025-3102），均涉及權限提升問題，可讓攻擊者在未授權的情況下創建管理員賬户，完全控制目標網站。

安全廠商 Patchstack 和 Wordfence 監測到，黑客自 2025 年 5 月初開始大規模利用這兩個漏洞，部分攻擊甚至在漏洞公開後 90 分鐘內就已出現。由於 OttoKit 用户基數龐大，受影響網站需立即採取行動，否則可能面臨數據泄露、惡意代碼注入等嚴重後果。

漏洞詳情：黑客如何利用邏輯缺陷接管網站？

1. CVE-2025-27007（CVSS 9.8）：未授權 API 提權漏洞

該漏洞影響 OttoKit 1.0.82 及更早版本，核心問題在於create_wp_connection()函數存在邏輯缺陷，未正確驗證用户權限。攻擊者可利用此漏洞在以下兩種情況下獲取管理員權限：

• 網站從未啓用應用密碼 （Application Password），且 OttoKit 未通過該方式連接過網站。
• 攻擊者已掌握低權限賬户，並能生成有效應用密碼。

攻擊流程：

1. 黑客向 OttoKit 的 REST API 端點發送偽造請求，模仿合法集成操作。
2. 利用create_wp_connection函數繞過認證，建立惡意連接。
3. 隨後調用/wp-json/sure-triggers/v1/automation/action接口，提交"type_event": "create_user_if_not_exists"參數，靜默創建管理員賬户。

2. CVE-2025-3102（CVSS 8.1）：認證繞過漏洞 （4 月已遭利用）

該漏洞同樣允許攻擊者創建惡意管理員賬户，但利用方式略有不同。黑客通過自動化腳本嘗試暴力破解或猜測管理員用户名，結合隨機密碼和偽造郵箱完成賬户創建。

關鍵問題：

• 兩個漏洞可被組合利用，攻擊者先嚐試 CVE-2025-27007，失敗後再測試 CVE-2025-3102 。
• 漏洞利用過程高度自動化，攻擊 IP 通常來自殭屍網絡或雲服務器。

攻擊態勢：黑客如何大規模掃描併入侵網站？

1. 漏洞公開後 90 分鐘內即遭利用

Patchstack 於 2025 年 5 月 5 日發佈漏洞公告，但監測顯示，攻擊者在公告發布後 91 分鐘就開始嘗試入侵。 Wordfence 進一步發現，5 月 2 日已有試探性攻擊，5 月 4 日進入大規模利用階段。

2. 攻擊 IP 與攻擊模式分析

監測到的攻擊 IP 包括：

2a0b:4141:820:1f4::2   41.216.188.205   144.91.119.115   194.87.29.57   196.251.69.118   107.189.29.12   205.185.123.102   198.98.51.24   198.98.52.226   199.195.248.147

攻擊特徵：

• 攻擊者向/wp-json/sure-triggers/相關 API 發送大量請求。
• 部分請求包含create_user_if_not_exists參數，嘗試創建管理員賬户。
• 部分 IP 同時掃描其他 WordPress 插件漏洞，表明攻擊者可能屬於自動化殭屍網絡。

3. 受影響網站可能面臨的後果

1. 後門賬户：黑客創建隱藏的管理員賬户，長期控制網站。
2. 數據泄露：獲取數據庫訪問權限，竊取用户信息。
3. 惡意代碼注入：植入 SEO 垃圾鏈接、釣魚頁面或勒索軟件。
4. 供應鏈攻擊：如果網站屬於企業或電商平台，可能影響下游用户。

---

修復方案：如何保護網站免受攻擊？

1. 立即更新 OttoKit 插件

官方已在 1.0.83 版本修復漏洞，用户應：

• 進入 WordPress 後台 → 插件 → 檢查 OttoKit 是否已自動更新。
• 如未更新，手動安裝最新版 （可從 WordPress 插件庫或廠商官網下載） 。

2. 檢查是否已被入侵

• 審查用户列表：查看是否有異常的管理員賬户 （尤其是近期創建的） 。
• 檢查網站日誌：搜索/wp-json/sure-triggers/相關請求，確認是否有攻擊嘗試。
• 使用安全插件掃描：如 Wordfence 、 Sucuri 等，檢測後門或惡意代碼。

3. 增強 WordPress 安全防護

• 啓用 Web 應用防火牆 （WAF）：可攔截惡意 API 請求。
• 禁用未使用的 REST API 端點：減少攻擊面。
• 強制使用強密碼+雙因素認證 （2FA）：降低暴力破解風險。

如果您的網站仍在運行 OttoKit 1.0.82 或更早版本，請立即更新，否則極可能成為下一個受害者！