Digitalna cyber sigurnost, ilustracija. Foto: Freepik.
Velika kampanja iskorištava kritičnu SQL injection ranjivost u Ghost CMS-u, označenu kao CVE-2026-26980, kako bi se u stranice ubacio zlonamjerni JavaScript koji potom pokreće ClickFix napade. Istraživači XLaba iz kineske tvrtke Qianxin navode da su utvrdili utjecaj na više od 700 domena, među kojima su portali sveučilišta, tvrtke iz područja umjetne inteligencije i SaaS-a, mediji, fintech kompanije, sigurnosne stranice i osobni blogovi.
Prema navodima istraživača, napadači su zlonamjerni kod postavili i na stranice Harvard Universityja, Oxford Universityja, Auburn Universityja i DuckDuckGoa. Ranjivost CVE-2026-26980 zahvaća Ghost verzije od 3.24.0 do 6.19.0 i neautentificiranom napadaču omogućuje čitanje proizvoljnih podataka iz baze podataka web-stranice, uključujući admin API ključeve. Taj ključ daje upravljački pristup korisnicima, člancima i temama te se može iskoristiti za izmjenu stranica članaka.
Ispravak je objavljen 19. veljače u verziji Ghost CMS-a 6.19.1, no mnoge stranice nisu instalirale sigurnosno ažuriranje. SentinelOne je 27. veljače objavio pojedinosti o tome kako se CVE-2026-26980 iskorištava u napadima i kako se incidenti mogu otkriti. Istraživači su pritom uočili najmanje dvije odvojene skupine aktivnosti koje ciljaju ranjive Ghost stranice, a u nekim su slučajevima nakon čišćenja iste domene ponovno zaražene različitim skriptama, ili je jedna uklanjala skriptu druge kako bi ubacila vlastitu.
Napadi koje je XLab promatrao počinju iskorištavanjem CVE-2026-26980 za krađu admin API ključeva, a zatim se ta povišena prava koriste za ubacivanje zlonamjernog JavaScripta u članke. Taj kod djeluje kao lagani učitavač koji dohvaća drugu fazu s infrastrukture napadača, odnosno cloaking skriptu koja otiskivanjem preglednika i uređaja provjerava posjetitelje i određuje jesu li prikladne mete. Posjetiteljima koji prođu provjeru prikazuje se lažni Cloudflareov upit, učitan putem iframea preko stranice članka, u kojem je smješten ClickFix mamac.
Stranica tada od žrtve traži da potvrdi da je riječ o čovjeku tako što će zalijepiti zadanu naredbu u Windows Command Prompt, a to na sustav preuzima zlonamjerni sadržaj. XLab je u tim napadima zabilježio više vrsta payloadova, među kojima su DLL loaderi, JavaScript droperi i uzorak zlonamjernog softvera temeljen na Electronu pod nazivom UtilifySetup.exe.
Za administratore Ghost CMS web-stranica najvažniji je korak nadogradnja na verziju 6.19.1 ili noviju te rotacija svih ranije korištenih ključeva, jer su mogli biti izloženi. XLab je objavio i popis pokazatelja kompromitacije, uključujući ubačene skripte, pa je potrebno temeljito pregledati stranice kako bi ih se pronašlo i uklonilo. Istraživači preporučuju i čuvanje 30-dnevne evidencije dnevnika admin API poziva kako bi retrospektivna istraga bila pouzdana.
Vezane vijesti
