Hơn 700 trang web Ghost CMS bị tấn công ClickFix qua lỗ hổng CVE-2026-26980

Các chuyên gia an ninh mạng vừa phát hiện các tác nhân đe dọa đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng trong hệ thống quản lý nội dung (CMS) Ghost để chèn mã JavaScript độc hại. Mục tiêu của chiến dịch này là thực hiện các cuộc tấn công ClickFix, gây ảnh hưởng đến hơn 700 trang web trên nhiều lĩnh vực khác nhau.

Theo báo cáo từ QiAnXin XLab, hoạt động này liên quan đến việc khai thác CVE-2026-26980 (điểm CVSS: 9.4), một lỗ hổng SQL injection trong Content API của Ghost. Lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể đọc dữ liệu tùy ý từ cơ sở dữ liệu. Ghost đã khắc phục lỗ hổng này vào tháng 2 năm 2026 trong phiên bản 6.19.1. Đáng chú ý, lỗ hổng được phát hiện bởi Anthropic bằng cách sử dụng Claude.

Mức độ nghiêm trọng của CVE-2026-26980 nằm ở chỗ nó cho phép kẻ tấn công truy cập trái phép khóa API quản trị của trang web. Với khóa API này, chúng có thể chèn mã độc vào trang web bằng cách sửa đổi hàng loạt các bài viết đã xuất bản trên CMS.

XLab cho biết, các tác nhân đe dọa đã lợi dụng lỗ hổng để “thu thập khóa Admin API của trang web mục tiêu mà không được ủy quyền, sau đó sử dụng Ghost Admin API để sửa đổi hàng loạt bài viết, chèn các trình tải JavaScript độc hại vào cuối trang để hỗ trợ các cuộc tấn công CAPTCHA giả mạo.”

Chiến dịch này được mô tả là một “chiến dịch đầu độc quy mô lớn” nhắm vào lỗ hổng Ghost CMS. Ít nhất hai nhóm tác nhân đe dọa khác nhau được cho là đứng sau chiến dịch, trong một số trường hợp đã cấy mã độc vào các trang web chỉ trong một ngày. Hoạt động này được phát hiện lần đầu vào ngày 7 tháng 5 năm 2026.

Tổng cộng, chiến dịch đã xâm phạm hơn 700 trang web, bao gồm các lĩnh vực như giáo dục (đại học), blockchain, trí tuệ nhân tạo (AI), phần mềm dưới dạng dịch vụ (SaaS), nghiên cứu bảo mật, truyền thông và công nghệ tài chính. Việc các trang web hợp pháp bị xâm phạm có thể làm tăng tỷ lệ thành công của các cuộc tấn công ClickFix.

Mã JavaScript được chèn vào cuối bài viết hoạt động như một trình tải hai giai đoạn, chịu trách nhiệm truy xuất payload chính từ một tên miền bên ngoài (“clo4shara[.]xyz/11z77u3.php”) trong thời gian chạy. Kiến trúc này mang lại sự linh hoạt, cho phép kẻ tấn công thay đổi payload dựa trên các tiêu chí khác nhau, trong khi vẫn giữ nguyên chức năng của trình tải trên nhiều trang web bị xâm phạm.

XLab giải thích: “Truy cập trực tiếp vào clo4shara[.]xyz/11z77u3.php sẽ hiển thị một đoạn mã, thực chất là một script phân phối lưu lượng truy cập điển hình. Chức năng cốt lõi của nó là thu thập các thông tin dấu vân tay khác nhau từ trình duyệt của người dùng và tải lên server, sau đó thực hiện các hành động như chuyển hướng, cửa sổ bật lên và tải xuống dựa trên các hướng dẫn được trả về.” Script PHP này được cung cấp bởi Adspect, một dịch vụ cloaking thương mại.

Mục đích của việc sử dụng script cloaking là để đảm bảo rằng chỉ những nạn nhân thực sự mới nhận được payload, trong khi các trình quét bảo mật và crawler sẽ chỉ thấy một trang web lành tính. Script này cũng hỗ trợ 19 lệnh khác nhau để chạy mã JavaScript tùy ý và tạo điều kiện điều khiển từ xa trình duyệt của nạn nhân.

Những khách truy cập trang web được coi là mục tiêu cuối cùng sẽ được hiển thị một trang xác minh CAPTCHA giả mạo trong một phần tử HTML iframe để chứng minh họ là con người. Điều này, đến lượt nó, kích hoạt một cuộc tấn công ClickFix, trong đó họ được hướng dẫn sao chép và dán một lệnh được mã hóa Base64 vào hộp thoại Run của Windows.

Lệnh này đóng vai trò là một dropper để phân phối một tệp ZIP và giải nén từ đó một script batch của Windows rồi chạy nó. Script này, về phần mình, thực thi một lệnh PowerShell để tải xuống một tệp DLL từ một tên miền từ xa, khởi chạy nó bằng “rundll32.exe” và mở một trang web giả mạo cho người dùng để đánh lạc hướng.

Các phiên bản malware sau này đã thay thế DLL bằng payload JavaScript. Bất kể loại payload nào, mục tiêu cuối cùng của cuộc tấn công là thả một tệp thực thi Windows. Trong trường hợp DLL, tệp thực thi là một client PuTTY với chứng chỉ ký mã hợp lệ. Tệp nhị phân được phân phối qua JavaScript là một trình cài đặt Inno Setup cho một ứng dụng Electron.

Ứng dụng này là một phiên bản sửa đổi của client desktop Grape mã nguồn mở, được thiết kế để duy trì quyền truy cập và thăm dò một server từ xa (“web-telegram[.]ug”) cứ sau 30 giây để xử lý các hướng dẫn do kẻ tấn công đưa ra, bao gồm chạy mã JavaScript hoặc các tệp thực thi.

Người dùng Ghost CMS được khuyến nghị nâng cấp phiên bản của họ lên bản mới nhất, thay đổi tất cả thông tin đăng nhập, dọn dẹp các trang web, kiểm tra nhật ký truy cập để tìm dấu hiệu hoạt động đáng ngờ và thông báo cho người dùng có thể đã truy cập các trang web trong thời gian bị nhiễm độc về khả năng bị xâm phạm.

Nguồn tham khảo: The Hacker News