Os cibercriminosos estão a explorar ativamente uma vulnerabilidade crítica de escalada de privilégios não autenticada no plugin OttoKit para WordPress. O objetivo é a criação de contas de administrador não autorizadas nos sites afetados, concedendo-lhes controlo total.
O que é o OttoKit e qual a vulnerabilidade?
O OttoKit, anteriormente conhecido como SureTriggers, é um plugin de automação e integração para WordPress utilizado em mais de 100.000 websites. A sua função principal é permitir que os utilizadores conectem os seus sites a serviços de terceiros e automatizem diversos fluxos de trabalho.
A empresa de segurança Patchstack recebeu um relatório sobre uma vulnerabilidade crítica no OttoKit a 11 de abril de 2025, submetido pelo investigador Denver Jackson. A falha, identificada como CVE-2025-27007, permite que um atacante obtenha acesso de administrador através da API do plugin. Isto é possível devido a um erro de lógica na função create_wp_connection, que contorna as verificações de autenticação quando as palavras-passe de aplicação não estão configuradas no WordPress.
Resposta rápida do fabricante, mas ataques começam após divulgação
O fabricante do OttoKit foi informado da vulnerabilidade no dia seguinte à sua descoberta, a 12 de abril de 2025. Uma correção foi disponibilizada a 21 de abril de 2025, com o lançamento da versão 1.0.83 do plugin, que adicionou uma verificação de validação para a chave de acesso utilizada no pedido. Até 24 de abril de 2025, a maioria dos utilizadores do plugin já tinha sido alvo de uma atualização forçada para a versão corrigida.
No entanto, a Patchstack publicou o seu relatório detalhado sobre a falha a 5 de maio de 2025. Preocupantemente, uma atualização posterior a este relatório alerta que a exploração ativa da vulnerabilidade começou aproximadamente 90 minutos após a sua divulgação pública.
Como os cibercriminosos estão a explorar a vulnerabilidade
Os atacantes estão a visar os endpoints da API REST do plugin, enviando pedidos que simulam tentativas legítimas de integração. Utilizam a função create_wp_connection com nomes de utilizador de administrador que tentam adivinhar ou obter por força bruta, palavras-passe aleatórias, e chaves de acesso e endereços de email falsos.
Uma vez que esta exploração inicial é bem-sucedida, os cibercriminosos efetuam chamadas API subsequentes para os endereços /wp-json/sure-triggers/v1/automation/action e ?rest_route=/wp-json/sure-triggers/v1/automation/action. Nestes pedidos, incluem o valor de payload "type_event": "create_user_if_not_exists". Em instalações vulneráveis, esta ação resulta na criação silenciosa de novas contas com privilégios de administrador.
Recomendações urgentes e um histórico preocupante
A Patchstack recomenda vivamente: "Atualize o seu site o mais rapidamente possível se estiver a utilizar o plugin OttoKit e reveja os seus logs e configurações do site para estes indicadores de ataque e comprometimento."
Este incidente marca a segunda falha de segurança com gravidade crítica no OttoKit a ser explorada por hackers desde abril de 2025. A anterior, rastreada como CVE-2025-3102, era outro bug de contorno de autenticação. A exploração dessa falha também começou no mesmo dia da sua divulgação, com os atacantes a tentar criar contas de administrador ilegítimas com nomes de utilizador, palavras-passe e emails aleatórios, o que sugere tentativas automatizadas.
Nenhum comentário
Seja o primeiro!