Hackers explotan Falla Crítica del plugin OttoKit de WordPress para crear Cuentas de Administrador

Los hackers están explotando una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin de WordPress OttoKit para crear cuentas de administrador maliciosas en sitios web comprometidos.

Detalles del Problema

OttoKit (anteriormente conocido como SureTriggers) es un plugin de automatización e integración de WordPress utilizado en más de 100.000 sitios que permite a los usuarios conectar sus sitios web con servicios de terceros y automatizar flujos de trabajo.

La vulnerabilidad, identificada con el código CVE-2025-27007, fue reportada el 11 de abril de 2025 por el investigador Denver Jackson.

Esta falla permite que los atacantes obtengan acceso de administrador a través de la API del plugin, explotando un error lógico en la función ‘create_wp_connection’.

Este error permite omitir las verificaciones de autenticación cuando las contraseñas de la aplicación no están configuradas correctamente.

El proveedor fue informado al día siguiente y el 21 de abril de 2025 se lanzó un parche en la versión 1.0.83 de OttoKit, que agregó una verificación de validación para la clave de acceso utilizada en las solicitudes.

Explotación en Ataques Activos

Patchstack publicó un informe el 5 de mayo de 2025, advirtiendo que la explotación de esta vulnerabilidad comenzó apenas 90 minutos después de la divulgación pública.

Los atacantes intentaron explotar la falla atacando los puntos finales de la API REST, enviando solicitudes que imitaban intentos legítimos de integración.

Utilizando la función ‘create_wp_connection’, los atacantes probaron nombres de usuario de administrador adivinados o forzados, contraseñas aleatorias y claves de acceso falsas.

Una vez que la explotación inicial fue exitosa, los atacantes realizaron llamadas API adicionales a /wp-json/sure-triggers/v1/automation/action, usando el valor de carga útil: "type_event": "create_user_if_not_exists".

Esto permitió la creación silenciosa de nuevas cuentas de administrador en las instalaciones vulnerables.

Patchstack recomienda encarecidamente a los usuarios de OttoKit que actualicen sus sitios lo antes posible y revisen los registros y la configuración de sus sitios en busca de indicadores de ataque y compromiso.

Vulnerabilidad Anterior en OttoKit

Esta es la segunda vulnerabilidad crítica en OttoKit que los hackers han explotado desde abril de 2025.

La primera fue un bypass de autenticación rastreado como CVE-2025-3102, cuya explotación también comenzó el mismo día de la divulgación.

En este caso, los atacantes intentaron crear cuentas de administrador de forma automática, usando nombres de usuario, contraseñas y direcciones de correo electrónico aleatorias.

Recomendaciones de seguridad urgentes:

• Actualizar inmediatamente cualquier instalación de OttoKit.
• Revisar registros de actividad y configuraciones de seguridad.
• Estar atento a actividad sospechosa y compromiso de cuentas.

---

Conclusión

Esta vulnerabilidad subraya una vez más la importancia de mantener plugins y sistemas actualizados para prevenir accesos no autorizados a las plataformas web.