WordPress gehackt, update zo snel mogelijk.

Hackers maken misbruik van authenticatie-bypass in WordPress-plugin uren na openbaarmaking

In een alarmerende ontwikkeling hebben hackers binnen enkele uren na de publieke onthulling een ernstige kwetsbaarheid in de OttoKit-plugin (voorheen bekend als SureTriggers) voor WordPress uitgebuit. Deze kwetsbaarheid stelt aanvallers in staat om de authenticatie te omzeilen, wat een aanzienlijke bedreiging vormt voor de veiligheid van websites.

Het is van cruciaal belang dat gebruikers onmiddellijk upgraden naar de nieuwste versie van OttoKit/SureTriggers, versie 1.0.79, die begin deze maand is uitgebracht. De OttoKit-plugin stelt gebruikers in staat om verschillende plugins en externe tools, zoals WooCommerce, Mailchimp en Google Sheets, te koppelen en taken te automatiseren, zoals het versturen van e-mails en het toevoegen van gebruikers, zonder dat hiervoor code nodig is. Op dit moment is het product actief op maar liefst 100.000 websites.

Gisteren onthulde Wordfence een kwetsbaarheid in de authenticatiebypass van OttoKit, aangeduid als CVE-2025-3102. Deze kwetsbaarheid heeft invloed op alle versies van SureTriggers/OttoKit tot en met 1.0.78. De oorzaak van het probleem ligt in een ontbrekende controle op lege waarden in de functie authenticate_user(), die verantwoordelijk is voor de REST API-authenticatie. De exploitatie is mogelijk als de plugin niet is geconfigureerd met een API-sleutel, waardoor de opgeslagen secret_key leeg blijft.

Een aanvaller kan deze kwetsbaarheid misbruiken door een lege st_authorization-header te verzenden, waardoor de controle wordt omzeild en ongeautoriseerde toegang wordt verleend tot beveiligde API-eindpunten. In wezen stelt CVE-2025-3102 aanvallers in staat om nieuwe administratoraccounts te creëren zonder enige authenticatie, wat het risico op een volledige overname van de site aanzienlijk vergroot.

Wordfence ontving een rapport over deze kwetsbaarheid van de beveiligingsonderzoeker 'mikemyers', die in mid-maart een beloning van $1.024 ontving voor deze ontdekking. De leverancier van de plugin werd op 3 april benaderd met de volledige details van de exploitatie, en op dezelfde dag werd er een oplossing vrijgegeven via versie 1.0.79. Echter, hackers grepen snel hun kans om deze kwetsbaarheid te misbruiken, gebruikmakend van de vertraging van websitebeheerders om de plugin bij te werken en het beveiligingsprobleem aan te pakken.

Onderzoekers van het WordPress-beveiligingsplatform Patchstack waarschuwen dat de eerste pogingen tot exploitatie in het wild slechts enkele uren na de openbaarmaking van de kwetsbaarheid zijn geregistreerd. “Aanvallers waren snel om deze kwetsbaarheid te misbruiken, met de eerste geregistreerde poging slechts vier uur na toevoeging als vPatch in onze database,” meldt Patchstack. “Deze snelle exploitatie benadrukt de dringende noodzaak om patches of mitigaties onmiddellijk toe te passen na de publieke onthulling van dergelijke kwetsbaarheden,” aldus de onderzoekers.

De bedreigingsactoren proberen nieuwe administratoraccounts te creëren met behulp van willekeurige combinaties van gebruikersnamen/wachtwoorden en e-mailadressen, wat wijst op geautomatiseerde taken.

Als u OttoKit/SureTriggers gebruikt, is het van groot belang om zo snel mogelijk te upgraden naar versie 1.0.79 en uw logboeken te controleren op ongebruikelijke admin-accounts of andere gebruikersrollen, installatie van plugins/thema's, database-toegangsevenementen en wijzigingen in beveiligingsinstellingen. Uw website kan in gevaar zijn, en het is essentieel om proactief te handelen om de veiligheid te waarborgen.