一个针对Ghost CMS内容管理系统的攻击 campaign 正在快速蔓延。奇安信旗下XLab实验室的研究人员发现,攻击者利用编号为CVE-2026-26980的SQL注入漏洞,在超过700个网站上植入恶意JavaScript代码,进而触发ClickFix攻击链。受影响的目标涵盖高校门户、AI/SaaS企业、媒体平台、金融科技公司、安全站点及个人博客等多个领域。
根据XLab的确认,哈佛大学、牛津大学、奥本大学以及搜索引擎DuckDuckGo的网站均出现在被植入恶意代码的名单之列。该漏洞影响Ghost 3.24.0至6.19.0版本,未授权攻击者可借此读取网站数据库中的任意数据,包括管理员API密钥。持有该密钥意味着获得对用户账户、文章及主题的管理权限,可直接修改文章页面内容。
Ghost官方已于2月19日发布6.19.1版本修复该问题,但大量站点未能及时更新。安全厂商SentinelOne在2月27日披露了漏洞遭利用的技术细节及检测方法。XLab观察到至少两组不同的攻击集群在持续活动,它们有时会重复感染同一域名——要么在清理后重新植入脚本,要么互相清除对方的代码以部署自己的载荷。
攻击链条分为多个阶段。首先利用CVE-2026-26980窃取管理员API密钥,随后通过 elevated 权限向文章中注入恶意JavaScript。这段代码作为轻量级加载器,会从攻击者基础设施获取第二阶段代码——一个cloaking脚本,用于对访问者进行指纹采集以筛选目标。
通过验证的访问者将看到一个伪造的Cloudflare人机验证提示,该提示通过iframe覆盖在文章页面之上,内含ClickFix诱导内容。页面指示受害者在Windows命令提示符中粘贴指定命令以"验证人类身份",实则向系统投放恶意载荷。XLab已识别出多种载荷类型,包括DLL加载器、JavaScript投放器,以及一个名为UtilifySetup.exe的基于Electron的恶意软件样本。
对于Ghost CMS站点管理员,首要措施是升级至6.19.1或更高版本,并轮换所有此前使用的密钥——这些密钥可能已遭泄露。XLab提供了一份入侵指标(IoCs)清单,包括被注入的脚本特征,建议对网站进行全面审查以定位并清除残留威胁。研究人员还建议保留30天的管理员API调用日志,以便开展可靠的回溯调查。
热门跟贴