An ninh mạng

Cảnh báo: Hơn 700 website Ghost CMS bị chiếm quyền điều khiển để thực hiện tấn công ClickFix

Hơn 700 website sử dụng Ghost CMS đang trở thành nạn nhân của một chiến dịch tấn công quy mô lớn, lợi dụng lỗ hổng SQL injection nghiêm trọng để phát tán mã độc thông qua kỹ thuật...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
3 0

Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công quy mô lớn nhắm vào các website sử dụng Ghost CMS. Kẻ tấn công đang khai thác lỗ hổng bảo mật nghiêm trọng CVE-2026-26980 (điểm CVSS 9.4) để tiêm mã JavaScript độc hại, từ đó thực hiện các cuộc tấn công ClickFix tinh vi.

Table Of Content

Chi tiết về lỗ hổng và phương thức tấn công

CVE-2026-26980 là một lỗ hổng SQL injection nằm trong Content API của Ghost CMS, cho phép kẻ tấn công không cần xác thực vẫn có thể đọc dữ liệu tùy ý từ cơ sở dữ liệu. Mặc dù lỗ hổng này đã được nhà phát triển khắc phục trong phiên bản 6.19.1 từ tháng 2/2026, nhiều hệ thống vẫn chưa được patch kịp thời.

Kẻ tấn công lợi dụng lỗ hổng này để chiếm đoạt Admin API key của website. Với quyền truy cập này, chúng có thể can thiệp vào nội dung bài viết hàng loạt, chèn các đoạn mã JavaScript độc hại vào cuối trang. Các đoạn mã này đóng vai trò là trình tải (loader) hai giai đoạn, giúp kẻ tấn công linh hoạt thay đổi payload tùy theo mục tiêu.

Cơ chế lây nhiễm ClickFix

Khi người dùng truy cập vào các trang web bị nhiễm mã độc, trình duyệt sẽ bị thu thập thông tin dấu vân tay (fingerprint) và gửi về server của kẻ tấn công. Sau đó, nạn nhân sẽ được dẫn dụ đến một trang xác thực CAPTCHA giả mạo.

Tại đây, kẻ tấn công thực hiện kỹ thuật ClickFix: yêu cầu người dùng copy và dán một lệnh đã được mã hóa Base64 vào cửa sổ Run trên Windows. Lệnh này thực chất là một trình cài đặt mã độc, cho phép kẻ tấn công tải về các tệp tin thực thi, DLL hoặc các ứng dụng đã được sửa đổi để duy trì sự hiện diện (persistence) trên máy tính nạn nhân.

Khuyến nghị cho quản trị viên

Chiến dịch này đã ảnh hưởng đến hơn 700 website thuộc nhiều lĩnh vực từ giáo dục, công nghệ cho đến tài chính. Để bảo vệ hệ thống, quản trị viên cần thực hiện ngay các bước sau:

  • Cập nhật Ghost CMS lên phiên bản mới nhất ngay lập tức.
  • Thực hiện xoay vòng (rotate) toàn bộ các khóa API và thông tin đăng nhập.
  • Kiểm tra nhật ký truy cập (access logs) để tìm kiếm các dấu hiệu bất thường.
  • Rà soát và làm sạch mã nguồn website nếu phát hiện các đoạn mã lạ được chèn vào.
  • Thông báo cho người dùng nếu website của bạn nằm trong danh sách bị ảnh hưởng trong thời gian qua.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept