Cacat injeksi Ghost CMS SQL dieksploitasi dalam kampanye ClickFix skala besar

Kampanye berskala besar mengeksploitasi kerentanan injeksi SQL kritis (CVE-2026-26980) di Ghost CMS untuk memasukkan kode JavaScript berbahaya yang memicu aliran serangan ClickFix.

Kampanye ini ditemukan oleh peneliti intelijen ancaman XLab di perusahaan keamanan siber Tiongkok Qianxin, yang mengonfirmasi dampaknya pada lebih dari 700 domain, termasuk portal universitas, perusahaan AI/SaaS, outlet media, perusahaan fintech, situs keamanan, dan blog pribadi.

Menurut para peneliti, pelaku ancaman menanamkan kode berbahaya di situs web Universitas Harvard, Universitas Oxford, Universitas Auburn, dan DuckDuckGo.

CVE-2026-26980 berdampak pada Ghost 3.24.0 hingga 6.19.0, dan memungkinkan penyerang yang tidak diautentikasi membaca data sewenang-wenang dari database situs web, termasuk kunci API admin.

Kunci ini memberikan akses manajemen kepada pengguna, artikel, dan tema, serta dapat digunakan untuk mengubah halaman artikel.

Meskipun perbaikan untuk masalah ini dirilis pada 19 Februari di Ghost CMS versi 6.19.1banyak situs gagal menginstal pembaruan keamanan.

SentinelOne menerbitkan rincian tentang 27 Februari CVE-2026-26980 sedang dieksploitasi dalam serangan dan bagaimana insiden dapat dideteksi. Para peneliti mengamati setidaknya dua kelompok aktivitas berbeda yang menargetkan situs Hantu yang rentan, terkadang menginfeksi ulang domain yang sama dengan skrip yang berbeda setelah pembersihan, atau yang satu membersihkan skrip yang lain untuk menyuntikkan skripnya sendiri.

Rantai serangan

Serangan yang diamati XLab dimulai dengan mengeksploitasi CVE-2026-26980 untuk mencuri kunci API admin, dan kemudian menggunakan hak yang lebih tinggi untuk memasukkan JavaScript berbahaya ke dalam artikel.

Kode JavaScript adalah pemuat ringan yang mengambil kode tahap kedua dari infrastruktur penyerang, yang pada dasarnya adalah skrip penyelubungan yang mengambil sidik jari pengunjung untuk menentukan apakah mereka memenuhi syarat sebagai target.

Pengunjung yang lolos verifikasi akan disajikan prompt Cloudflare palsu yang dimuat melalui iframe di bagian atas halaman artikel, yang berisi iming-iming ClickFix.

Halaman tersebut menginstruksikan korban untuk memverifikasi bahwa mereka adalah manusia dengan menempelkan perintah yang diberikan pada command prompt Windows mereka, yang akan menghapus muatan pada sistem mereka.

XLab telah mengamati beberapa muatan yang digunakan dalam serangan ini, termasuk pemuat DLL, dropper JavaScript, dan sampel malware berbasis Electron bernama UtilifySetup.exe.

Mengurangi risiko

Tindakan terpenting bagi administrator situs web Ghost CMS adalah meningkatkan ke versi 6.19.1 atau lebih baru dan merotasi semua kunci yang digunakan sebelumnya, karena mungkin telah terekspos.

XLab menyediakan daftar indikator kompromi (IoC), termasuk skrip yang dimasukkan, sehingga diperlukan peninjauan menyeluruh terhadap situs web untuk menemukan dan menghapusnya.

Para peneliti merekomendasikan agar pemilik situs web menyimpan catatan log panggilan API admin selama 30 hari untuk memungkinkan penyelidikan retrospektif yang andal.