Luka w Ghost CMS wykorzystana do kampanii ClickFix na setkach stron - Security Bez Tabu

Luka w Ghost CMS wykorzystana do kampanii ClickFix na setkach stron

Cybersecurity news

Wprowadzenie do problemu / definicja

Ghost CMS stał się celem szeroko zakrojonej kampanii kompromitacji stron internetowych, w której napastnicy wykorzystali załataną już podatność SQL Injection oznaczoną jako CVE-2026-26980. Problem nie wynikał z pojawienia się nowej luki, lecz z opóźnionego wdrażania poprawek przez administratorów, co otworzyło drogę do przejmowania niezałatanych instancji i modyfikowania opublikowanych treści.

W praktyce cyberprzestępcy używali podatności do pozyskania dostępu do wrażliwych danych aplikacji, a następnie do osadzania złośliwego kodu wspierającego kampanie typu ClickFix. W efekcie legalne serwisy były wykorzystywane jako nośnik dalszych ataków na odwiedzających.

W skrócie

Atakujący wykorzystywali CVE-2026-26980 w interfejsie Content API Ghost CMS do nieautoryzowanego odczytu danych z bazy. Najgroźniejszy scenariusz obejmował pozyskanie klucza Admin API, co pozwalało na pełnoprawną edycję treści publikowanych na stronie.

Po przejęciu dostępu operatorzy kampanii wstrzykiwali złośliwy JavaScript do artykułów. Kod przekierowywał użytkowników do fałszywych ekranów weryfikacji człowieka i nakłaniał ich do uruchomienia poleceń w systemie Windows, prowadząc do pobrania kolejnych ładunków malware.

  • wykorzystana została znana i załatana podatność w Ghost CMS,
  • atak objął ponad 700 domen,
  • celem było przejęcie możliwości edycji treści przez Admin API,
  • końcowym etapem była socjotechnika oparta na schemacie ClickFix.

Kontekst / historia

Ghost to popularny system zarządzania treścią wykorzystywany przez blogi, redakcje i projekty headless CMS. Platformy tego typu są szczególnie atrakcyjne dla przestępców, ponieważ publicznie dostępne API ułatwia automatyczne skanowanie internetu i seryjne wykorzystywanie tych samych błędów na wielu hostach.

Podatność CVE-2026-26980 została wcześniej ujawniona i poprawiona, jednak wiele organizacji nie wdrożyło aktualizacji na czas. To stworzyło klasyczne okno eksploatacji post-patch, w którym napastnicy analizują opublikowaną poprawkę, odtwarzają mechanizm błędu i szybko automatyzują atak.

Z dostępnych analiz wynika, że kampania była aktywna co najmniej od początku maja 2026 roku. Ślady wskazują również, że przygotowania po stronie operatorów rozpoczęły się bardzo szybko po udostępnieniu aktualizacji bezpieczeństwa.

Analiza techniczna

Rdzeniem incydentu była luka SQL Injection umożliwiająca odczyt danych z bazy bez uwierzytelnienia. Kluczowym zasobem z perspektywy napastnika był klucz Admin API, który w architekturze Ghost daje szerokie uprawnienia do zarządzania treścią i elementami systemu.

Po pozyskaniu klucza atakujący nie musieli utrzymywać webshella ani bezpośrednio ingerować w całe środowisko aplikacyjne. Zamiast tego korzystali z natywnych mechanizmów administracyjnych Ghost i modyfikowali wpisy przez legalne interfejsy API, dodając do artykułów złośliwy kod JavaScript.

Łańcuch ataku miał kilka etapów. Najpierw zainfekowana strona ładowała zewnętrzny skrypt pełniący rolę loadera. Następnie następowało profilowanie środowiska przeglądarki oraz selekcja potencjalnych ofiar. W dalszej kolejności użytkownik trafiał na fałszywą stronę weryfikacyjną stylizowaną na mechanizm CAPTCHA lub kontrolę antybotową.

Właśnie na tym etapie uruchamiano model ClickFix. Ofiara otrzymywała instrukcję, aby skopiować i uruchomić lokalnie przygotowaną komendę, najczęściej w oknie Uruchamianie lub PowerShell. Ostatni etap wykonywał więc sam użytkownik, co utrudnia wykrywanie i pozwala ominąć część klasycznych zabezpieczeń opartych wyłącznie na blokowaniu kodu w przeglądarce.

Badacze zwracają również uwagę, że infrastruktura kampanii była dynamicznie zmieniana. Operatorzy podmieniali domeny, skrypty i dalsze ładunki malware, aby utrzymać skuteczność działań mimo publikacji wskaźników kompromitacji i rosnącego zainteresowania obrońców.

Konsekwencje / ryzyko

Dla właścicieli stron najpoważniejszym skutkiem jest utrata integralności publikowanych treści oraz wykorzystanie zaufanej domeny do dystrybucji złośliwego kodu. Użytkownik odwiedzający legalny serwis może zostać wciągnięty w etap socjotechniczny bez wyraźnych oznak klasycznego phishingu.

Taki model działania zwiększa skuteczność kampanii, ponieważ reputacja znanej witryny obniża czujność ofiary. Jednocześnie incydent nie musi oznaczać pełnego przejęcia serwera, aby prowadzić do poważnych skutków bezpieczeństwa i wizerunkowych.

  • kompromitacja marki i utrata reputacji,
  • ryzyko umieszczenia domeny na listach blokowanych,
  • narażenie użytkowników na malware,
  • utrudnione wykrycie incydentu przy braku monitoringu zmian treści,
  • konieczność rotacji kluczy i przeglądu historycznych logów.

Rekomendacje

Administratorzy korzystający z Ghost CMS powinni niezwłocznie zweryfikować wersję systemu i wdrożyć poprawki bezpieczeństwa. Jeśli istnieje choćby podejrzenie wcześniejszej kompromitacji, sam update nie jest wystarczający i powinien być traktowany jedynie jako pierwszy krok reakcji.

  • zaktualizować Ghost CMS do wersji zawierającej poprawkę dla CVE-2026-26980,
  • przeprowadzić rotację wszystkich kluczy Admin API oraz innych poświadczeń,
  • przeanalizować logi pod kątem nietypowych wywołań administracyjnych API,
  • sprawdzić treści artykułów, szablony i ustawienia code injection pod kątem obcych skryptów,
  • porównać bieżącą zawartość z kopiami zapasowymi i wcześniejszymi wersjami wpisów,
  • wdrożyć monitoring integralności treści publikowanych przez CMS,
  • przeanalizować zgłoszenia użytkowników i historię pobrań mogące wskazywać na kontakt ze złośliwą stroną.

Z perspektywy użytkownika końcowego warto podkreślić prostą zasadę: legalna witryna nie powinna wymagać uruchamiania poleceń systemowych w celu przejścia testu CAPTCHA. Taka prośba powinna być traktowana jako jednoznaczny sygnał ataku.

Podsumowanie

Kampania wymierzona w Ghost CMS pokazuje, jak szybko cyberprzestępcy potrafią przejść od publicznie ujawnionej podatności do masowej eksploatacji internetu. Kluczową rolę odegrało opóźnione patchowanie oraz wykorzystanie natywnych funkcji administracyjnych CMS do zatruwania treści zamiast stosowania bardziej klasycznych metod trwałej kompromitacji.

To ważne ostrzeżenie dla administratorów i zespołów bezpieczeństwa. Aktualizacje bezpieczeństwa muszą być traktowane priorytetowo, a monitoring powinien obejmować nie tylko stan serwera, lecz także integralność treści, aktywność API i anomalie w warstwie frontendowej.

Źródła

  1. Ghost CMS flaw abused to push ClickFix attacks on hundreds of sites — https://securityaffairs.com/192655/cyber-crime/ghost-cms-flaw-abused-to-push-clickfix-attacks-on-hundreds-of-sites.html
  2. Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks — https://blog.xlab.qianxin.com/ghost-cms-mass-compromised-via-cve-2026-26980-now-fueling-clickfix-attacks/
  3. Security update available for Ghost 6.x — https://forum.ghost.org/t/security-update-available-for-ghost-6-x/61908
  4. Ghost Documentation — https://ghost.org/docs/