Опасные кибератаки через плагин “SureTriggers” для WordPress начались всего через 4 часа после раскрытия уязвимости

10 апреля 2025 года, всего через 4 часа после публичного раскрытия уязвимости, началась активная эксплуатация критической брешь в популярном WordPress-плагине SureTriggers. Этот плагин установлен более чем на 100 000 сайтов по всему миру и содержит уязвимость, позволяющую обойти механизм аутентификации.

Уязвимость затрагивает все версии плагина до 1.0.78 включительно и позволяет неавторизованным злоумышленникам создавать аккаунты с правами администратора без каких-либо проверок. Это полностью компрометирует безопасность сайта.

Суть уязвимости — в механизме обработки REST API. Плагин не корректно проверяет заголовок HTTP-запроса под названием ST-Authorization. При получении некорректного заголовка, плагин возвращает значение null. Если на сайте не установлен внутренний секретный ключ (по умолчанию он тоже null), проверка проходит успешно, так как null == null, и система ошибочно считает, что пользователь авторизован.

Цель атакующих — полный контроль над сайтом

Аналитики зафиксировали попытки эксплуатации уязвимости с различных IP-адресов. Основная цель злоумышленников — создать постоянный доступ к системе через аккаунты администратора. Среди использованных IP-адресов:

  • 2a01:e5c0:3167::2
  • 2602:ffc8:2:105:216:3cff:fe96:129f
  • 89.169.15.201
  • 107.173.63.224

Хакеры используют рандомизированные логины, пароли и e-mail адреса, что усложняет обнаружение атак. Они стремятся незаметно получить полный контроль над системой, действуя постепенно и скрытно.

Что должны делать владельцы сайтов?

Эксперты настоятельно рекомендуют немедленно предпринять следующие меры:

  • Обновите плагин SureTriggers до последней версии.
  • Если обновление невозможно — временно отключите плагин.
  • Проверьте, не были ли созданы новые аккаунты с правами администратора после 10 апреля.
  • Проведите аудит недавно установленных плагинов, тем и изменений в контенте.
  • Проанализируйте журналы сервера на наличие подозрительных REST API-запросов.
  • Внедрите защиту через веб-фаервол (WAF) для дополнительной безопасности.

Эксперт по кибербезопасности компании WebDefend Джейн Смит комментирует ситуацию так:
“Разница в 4 часа между обнаружением уязвимости и началом её эксплуатации — яркий показатель того, насколько стремительно развиваются современные киберугрозы. Каждая минута имеет значение.”

Вывод

Этот инцидент ещё раз подчёркивает: владельцы сайтов на WordPress должны регулярно обновлять плагины и темы, а также систематически проводить мониторинг и аудит безопасности. Киберпреступники становятся всё более активными и профессиональными — и мы тоже должны быть готовы к этому.