漏洞背景:OttoKit 外掛曝雙漏洞,超 10 萬網站面臨風險
OttoKit(原名 SureTriggers) 是一款 WordPress 自動化整合外掛,允許使用者將網站與第三方服務連線並實現工作流自動化,目前活躍安裝量超過 10 萬。然而,2025 年 4 月至 5 月期間,該外掛連續曝出兩個高危漏洞 (CVE-2025-27007 和 CVE-2025-3102),均涉及許可權提升問題,可讓攻擊者在未授權的情況下建立管理員賬戶,完全控制目標網站。
安全廠商 Patchstack 和 Wordfence 監測到,駭客自 2025 年 5 月初開始大規模利用這兩個漏洞,部分攻擊甚至在漏洞公開後 90 分鐘內就已出現。由於 OttoKit 使用者基數龐大,受影響網站需立即採取行動,否則可能面臨資料洩露、惡意程式碼注入等嚴重後果。
漏洞詳情:駭客如何利用邏輯缺陷接管網站?
1. CVE-2025-27007(CVSS 9.8):未授權 API 提權漏洞
該漏洞影響 OttoKit 1.0.82 及更早版本,核心問題在於create_wp_connection()
函式存在邏輯缺陷,未正確驗證使用者許可權。攻擊者可利用此漏洞在以下兩種情況下獲取管理員許可權:
- 網站從未啟用應用密碼 (Application Password),且 OttoKit 未透過該方式連線過網站。
- 攻擊者已掌握低許可權賬戶,並能生成有效應用密碼。
攻擊流程:
- 駭客向 OttoKit 的 REST API 端點傳送偽造請求,模仿合法整合操作。
- 利用
create_wp_connection
函式繞過認證,建立惡意連線。 - 隨後呼叫
/wp-json/sure-triggers/v1/automation/action
介面,提交"type_event": "create_user_if_not_exists"
引數,靜默建立管理員賬戶。
2. CVE-2025-3102(CVSS 8.1):認證繞過漏洞 (4 月已遭利用)
該漏洞同樣允許攻擊者建立惡意管理員賬戶,但利用方式略有不同。駭客透過自動化指令碼嘗試暴力破解或猜測管理員使用者名稱,結合隨機密碼和偽造郵箱完成賬戶建立。
關鍵問題:
- 兩個漏洞可被組合利用,攻擊者先嚐試 CVE-2025-27007,失敗後再測試 CVE-2025-3102 。
- 漏洞利用過程高度自動化,攻擊 IP 通常來自殭屍網路或雲伺服器。
攻擊態勢:駭客如何大規模掃描併入侵網站?
1. 漏洞公開後 90 分鐘內即遭利用
Patchstack 於 2025 年 5 月 5 日釋出漏洞公告,但監測顯示,攻擊者在公告發布後 91 分鐘就開始嘗試入侵。 Wordfence 進一步發現,5 月 2 日已有試探性攻擊,5 月 4 日進入大規模利用階段。
2. 攻擊 IP 與攻擊模式分析
監測到的攻擊 IP 包括:
2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147
攻擊特徵:
- 攻擊者向
/wp-json/sure-triggers/
相關 API 傳送大量請求。 - 部分請求包含
create_user_if_not_exists
引數,嘗試建立管理員賬戶。 - 部分 IP 同時掃描其他 WordPress 外掛漏洞,表明攻擊者可能屬於自動化殭屍網路。
3. 受影響網站可能面臨的後果
- 後門賬戶:駭客建立隱藏的管理員賬戶,長期控制網站。
- 資料洩露:獲取資料庫訪問許可權,竊取使用者資訊。
- 惡意程式碼注入:植入 SEO 垃圾連結、釣魚頁面或勒索軟體。
- 供應鏈攻擊:如果網站屬於企業或電商平臺,可能影響下游使用者。
修復方案:如何保護網站免受攻擊?
1. 立即更新 OttoKit 外掛
官方已在 1.0.83 版本修復漏洞,使用者應:
- 進入 WordPress 後臺 → 外掛 → 檢查 OttoKit 是否已自動更新。
- 如未更新,手動安裝最新版 (可從 WordPress 外掛庫或廠商官網下載) 。
2. 檢查是否已被入侵
- 審查使用者列表:檢視是否有異常的管理員賬戶 (尤其是近期建立的) 。
- 檢查網站日誌:搜尋
/wp-json/sure-triggers/
相關請求,確認是否有攻擊嘗試。 - 使用安全外掛掃描:如 Wordfence 、 Sucuri 等,檢測後門或惡意程式碼。
3. 增強 WordPress 安全防護
- 啟用 Web 應用防火牆 (WAF):可攔截惡意 API 請求。
- 禁用未使用的 REST API 端點:減少攻擊面。
- 強制使用強密碼+雙因素認證 (2FA):降低暴力破解風險。
如果您的網站仍在執行 OttoKit 1.0.82 或更早版本,請立即更新,否則極可能成為下一個受害者!
發表回覆