Масова кампания атакува Ghost CMS чрез критична SQL injection уязвимост

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Над 700 сайта са компрометирани с ClickFix атаки след експлоатация на CVE-2026-26980

Киберпрестъпна кампания в голям мащаб използва критична SQL injection уязвимост в Ghost CMS, за да компрометира стотици сайтове и да разпространява зловреден код чрез ClickFix атаки. Според анализ на изследователи от Qianxin, засегнати са над 700 домейна, включително университетски портали, медийни сайтове, fintech компании, SaaS платформи и технологични организации.

Сред компрометираните сайтове се посочват и платформи, свързани с Harvard University, University of Oxford, Auburn University и DuckDuckGo.

Уязвимостта дава достъп до административни API ключове

Проблемът се проследява до уязвимостта CVE-2026-26980, която засяга версии 3.24.0 до 6.19.0 на Ghost CMS.

Уязвимостта позволява на неавтентикирани нападатели да извличат произволни данни от базата на сайта, включително административни API ключове.

С тези ключове атакуващите получават разширен контрол върху:

  • потребителски акаунти;
  • публикации;
  • теми и шаблони;
  • съдържание на статии;
  • административни функции.

Макар корекцията да е публикувана още на 19 февруари с версия 6.19.1, голям брой сайтове не са инсталирали обновлението навреме.

Атакуващите инжектират зловреден JavaScript в статии

След компрометирането на API ключовете нападателите добавят malicious JavaScript код директно в страниците на публикациите.

Инжектираният скрипт първоначално действа като lightweight loader, който зарежда втори етап от инфраструктурата на атакуващите.

След това се изпълнява т.нар. cloaking механизъм, който анализира посетителя и определя дали той представлява подходяща жертва.

Само определени потребители виждат следващия етап на атаката.

ClickFix атаки чрез фалшив Cloudflare прозорец

При избраните жертви се визуализира фалшив прозорец, имитиращ Cloudflare проверка.

Страницата инструктира потребителите да „докажат, че са хора“, като копират и изпълнят команда в Windows Command Prompt.

Това е класически ClickFix сценарий – техника за social engineering, при която самият потребител стартира malware-а на системата си.

Подобни атаки стават все по-популярни, защото заобикалят традиционните защитни механизми и използват доверието на потребителя като основен вектор за компрометиране.

Използват се различни malware payload-и

Според изследователите кампанията използва множество различни payload-и, включително:

  • DLL loaders;
  • JavaScript droppers;
  • Electron-базиран malware;
  • изпълними файлове като UtilifySetup.exe.

Някои от payload-ите са предназначени за:

  • кражба на credentials;
  • remote access;
  • persistence;
  • допълнително изтегляне на malware;
  • компрометиране на браузъри и локални файлове.

Наблюдавани са конкуриращи се атакуващи групи

Интересен детайл от анализа е, че няколко различни групи изглежда използват една и съща уязвимост паралелно.

Изследователите от SentinelOne съобщават, че са наблюдавали:

  • повторно заразяване на вече почистени сайтове;
  • различни malicious скриптове върху едни и същи домейни;
  • случаи, в които една група премахва malware-а на друга, за да внедри собствен.

Това показва колко ценни са уязвимите Ghost CMS инсталации за киберпрестъпните операции.

Какво трябва да направят администраторите

Експертите препоръчват незабавно:

  • обновяване към Ghost CMS 6.19.1 или по-нова версия;
  • ротация на всички API ключове;
  • проверка за инжектирани JavaScript файлове;
  • анализ на административните логове;
  • мониторинг за необичайни API заявки;
  • преглед на публикациите за злонамерени iframe елементи и външни скриптове.

Допълнително се препоръчва съхраняване на поне 30 дни административни API логове за retrospective investigation.

ClickFix кампаниите се превръщат в глобална тенденция

През последните месеци ClickFix техниките се превърнаха в една от най-агресивно използваните форми на social engineering атаки.

Причината е, че:

  • потребителят сам изпълнява командата;
  • antivirus решенията често не реагират навреме;
  • атаките използват легитимни Windows инструменти;
  • payload-ите могат да бъдат динамично сменяни.

Комбинацията между supply chain атаки, уязвими CMS платформи и ClickFix social engineering все по-често позволява на нападателите да компрометират голям брой организации чрез минимални технически усилия.

#ClickFix, # CVE-2026-26980, # Ghost CMS, # SQL injection, # зловреден код
e-security.bg

Подобни

Кампанията Shai-Hulud отново атакува
9.06.2026
Ducktail-malware_b
Silent Ransom Group засилва атаките срещу адвокатски кантори
8.06.2026
thankyoufantasypictures-ai-generated-8705387_640
Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy