Обновите OttoKit немедленно: хакеры атаковали WordPress уже через 4 часа после публикации CVE

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.766
Репутация
11.068
Реакции
16.718
RUB
1.045
Сделок через гаранта
18
Пустая строка вместо ключа авторизации открывает полный доступ к веб-ресурсам.

image

Хакеры начали массово эксплуатировать критическую в популярном плагине OttoKit (ранее ) для WordPress всего через несколько часов после её публичного раскрытия. Уязвимость позволяет обойти авторизацию и получить полный контроль над сайтом.
OttoKit предоставляет пользователям возможность без программирования автоматизировать действия на сайте WordPress: связывать другие плагины и сторонние сервисы, такие как WooCommerce, Mailchimp и Google Sheets, отправлять письма, добавлять пользователей или обновлять CRM-системы. По статистике, плагин используется на более чем 100 тысячах сайтов.
Уязвимость получила идентификатор и затрагивает все версии OttoKit и SureTriggers до 1.0.78 включительно. специалисты Wordfence, получившие сообщение от исследователя под псевдонимом mikemyers. За находку он получил вознаграждение в размере 1024 доллара. Вендор оперативно отреагировал — уже 3 апреля был выпущен обновлённый релиз под номером 1.0.79 с устранением проблемы.
Основная ошибка заключалась в функции authenticate_user(), отвечающей за проверку прав доступа через REST API. При отсутствии API-ключа плагин сохраняет пустое значение secret_key, а проверка значений на пустоту в уязвимом коде отсутствовала. Это позволило атакующим просто отправить заголовок st_authorization с пустым значением и пройти авторизацию.
Таким образом, злоумышленник мог получить доступ к защищённым API-эндпоинтам, создать учётную запись администратора и захватить сайт. Более того, такие действия легко автоматизируются. Patchstack, злоумышленники начали активно использовать баг всего через четыре часа после его публикации в базе данных компании.
Исследователи отмечают, что атаки сопровождаются созданием новых администраторских аккаунтов со случайными логинами, паролями и почтовыми адресами. Это указывает на автоматизированный характер атак, скорее всего, с использованием скриптов или ботов.
На данный момент пользователям плагина настоятельно рекомендуется как можно скорее обновиться до версии 1.0.79. Также следует вручную проверить логи на предмет подозрительных действий: появления новых аккаунтов, установки неизвестных тем и плагинов, изменения настроек безопасности или событий доступа к базе данных.
Эта ситуация наглядно показывает, насколько важно немедленно применять обновления после публичного раскрытия уязвимостей. Даже несколько часов задержки могут оказаться критическими.

 
  • Теги
    ottokit suretriggers wordpress
  • Назад
    Сверху Снизу