Μια πρόσφατη ευπάθεια στον τομέα της κυβερνοασφάλειας έχει προκαλέσει σοβαρούς κραδασμούς στο οικοσύστημα του Ghost CMS, καθώς μια εκτεταμένη καμπάνια εκμεταλλεύεται τη CVE-2026-26980. Αυτή η ευπάθεια SQL injection επιτρέπει στους εγκληματίες του κυβερνοχώρου να εισάγουν κακόβουλο JavaScript κώδικα σε ιστοσελίδες που χρησιμοποιούν το συγκεκριμένο CMS, ενεργοποιώντας έτσι τις επιθέσεις ClickFix.
Η ανακάλυψη πραγματοποιήθηκε από την ομάδα Qianxin, ένα κινεζικό εταιρεία κυβερνοασφάλειας, και οι επιπτώσεις έχουν ήδη διαπιστωθεί σε περίπου 700 ιστοσελίδες, συμπεριλαμβανομένων πανεπιστημιακών πυλών και εταιρειών υψηλής τεχνολογίας. Ανάμεσα στους παραβιασμένους ιστότοπους περιλαμβάνονται ορισμένοι με μεγάλη επισκεψιμότητα και κύρος, όπως το Χάρβαρντ και το DuckDuckGo.
Πηγή: XLab
Η ευπάθεια CVE-2026-26980 επηρεάζει εκδόσεις Ghost CMS από 3.24.0 έως 6.19.0, επιτρέποντας χωρίς έλεγχο πρόσβαση σε ευαίσθητα δεδομένα της βάσης δεδομένων, περιλαμβανομένων στοιχείων όπως τα κλειδιά API διαχειριστή. Αυτά τα κλειδιά δίνουν στους επιτιθέμενους τη δυνατότητα να πραγματοποιούν κακόβουλες ενέργειες στον ιστότοπο, τροποποιώντας περιεχόμενο σε άρθρα και σελίδες.
Μια επιδιόρθωση κυκλοφόρησε στις 19 Φεβρουαρίου με την έκδοση 6.19.1 του Ghost CMS. Ωστόσο, αρκετοί ιστότοποι δεν έχουν ενημερωθεί, αφήνοντάς τους εκτεθειμένους σε επιθέσεις. Ο οργανισμός SentinelOne ανακοίνωσε ότι οι επιθέσεις αυτές συνεχίζονται με διάφορους τρόπους, με σκοπό την επαναλαμβανόμενη μόλυνση των ίδιων ιστότοπων.
Πηγή: XLab
Αλυσίδα Επίθεσης
Ο μηχανισμός των επιθέσεων συνίσταται στην εκμετάλλευση της συγκεκριμένης ευπάθειας για την κλοπή κλειδιών API και άλλων ευαίσθητων στοιχείων. Ο κακόβουλος JavaScript που εισάγουν οι επιτιθέμενοι χρησιμεύει ως μέσο ανάκτησης πρόσθετου κώδικα από την υποδομή τους. Αυτό το σενάριο περιλαμβάνει την αναγνώριση προσωπικών δεδομένων των επισκεπτών και την εκτέλεση επιβλαβών εντολών.
Στους επισκέπτες παρουσιάζεται μια ψεύτικη προτροπή μέσω ενός iframe, που τους ζητά να εκτελέσουν μια εντολή στην γραμμή εντολών των Windows, κάτι που οδηγεί στην εγκατάσταση κακόβουλου λογισμικού στα λειτουργικά τους συστήματα.
Πηγή: XLab
Στην κατηγορία του κακόβουλου λογισμικού περιλαμβάνονται φορτωτές DLL και δείγματα λογισμικού όπως το UtilifySetup.exe.
.jpg)
Πηγή: XLab
Μέτρα Πρόληψης
Οι διαχειριστές των ιστότοπων που χρησιμοποιούν Ghost CMS θα πρέπει άμεσα να αναβαθμίσουν την πλατφόρμα τους στην τελευταία διαθέσιμη έκδοση (6.19.1 ή ανώτερη) και να ανανεώσουν τα κλειδιά που ενδεχομένως έχουν εκτεθεί. Η ομάδα XLab έχει παραθέσει δείκτες συμβιβασμού (IoC), που θα βοηθήσουν στην ανίχνευση και αποκατάσταση των μολυσμένων ιστοσελίδων.
Παράλληλα, είναι σημαντικό να διατηρείται αρχείο των κλήσεων API για τουλάχιστον 30 ημέρες για την υποστήριξη της διερεύνησης και της αποκατάστασης των επιθέσεων.
Η ανάγκη για αυτοματοποιημένα εργαλεία κυβερνοασφάλειας είναι ζωτικής σημασίας. Ωστόσο, κρίνεται απαραίτητο να ελεγχθεί η αποτελεσματικότητα των προστατευτικών μηχανισμών που έχουν εγκατασταθεί. Ο συγκεκριμένος οδηγός συλλέγει τις 6 βασικές επιφάνειες που χρειάζεστε για να εγγυηθείτε την ασφάλεια του δικτύου σας.
