Lỗ hổng CVE-2026-26980 của Ghost CMS bị khai thác để tấn công ClickFix trên hơn 700 trang web

Các tác nhân đe dọa đang khai thác một lỗ hổng bảo mật nghiêm trọng mới được công bố trong Ghost CMS để chèn mã JavaScript độc hại nhằm thúc đẩy các cuộc tấn công ClickFix. Theo QiAnXin XLab, hoạt động này liên quan đến việc khai thác CVE-2026-26980 (điểm CVSS: 9.4), một lỗ hổng SQL injection trong Content API của Ghost cho phép kẻ tấn công chưa xác thực đọc dữ liệu tùy ý từ cơ sở dữ liệu.
Lỗ hổng Ghost CMS bị khai thác
Kẻ tấn công lợi dụng lỗ hổng trong Ghost CMS để thực hiện các cuộc tấn công ClickFix.

Các tác nhân đe dọa đang khai thác một lỗ hổng bảo mật nghiêm trọng mới được công bố trong Ghost CMS để chèn mã JavaScript độc hại nhằm thúc đẩy các cuộc tấn công ClickFix.

Chi tiết về lỗ hổng SQL injection CVE-2026-26980

Theo QiAnXin XLab, hoạt động này liên quan đến việc khai thác CVE-2026-26980 (điểm CVSS: 9.4), một lỗ hổng SQL injection trong Content API của Ghost, có thể cho phép kẻ tấn công chưa xác thực đọc dữ liệu tùy ý từ cơ sở dữ liệu. Lỗ hổng bảo mật này đã được khắc phục vào tháng 2 năm 2026 trong phiên bản 6.19.1. Lỗ hổng được phát hiện bởi Anthropic thông qua việc sử dụng Claude.

Điều làm cho lỗ hổng này trở nên cực kỳ nghiêm trọng là nó cho phép kẻ tấn công có được Admin API key của trang web mà không cần sự cho phép, cấp cho chúng khả năng "đầu độc" trang web bằng cách chèn mã độc. Admin API key có thể được sử dụng để gọi Admin API và trực tiếp sửa đổi các bài viết đã xuất bản trên hệ thống quản trị nội dung (CMS).

Kẻ tấn công đã tận dụng lỗ hổng bảo mật để "lấy được Admin API key của trang web mục tiêu một cách trái phép, sau đó sử dụng Ghost Admin API để sửa đổi hàng loạt các bài viết, chèn các loader JavaScript độc hại vào cuối trang để hỗ trợ các cuộc tấn công CAPTCHA giả mạo," XLab cho biết.

Chiến dịch "đầu độc" quy mô lớn trên 700 trang web

Hoạt động này được nhà cung cấp bảo mật Trung Quốc mô tả là một chiến dịch "đầu độc quy mô lớn" đang vũ khí hóa lỗ hổng Ghost CMS. Ít nhất hai cụm đe dọa khác nhau được đánh giá là đứng sau chiến dịch này, trong một số trường hợp, chúng đã cài cắm mã độc vào một số trang web chỉ trong vòng một ngày. Hoạt động này được phát hiện lần đầu vào ngày 7 tháng 5 năm 2026.

Tổng cộng, chiến dịch đã xâm nhập hơn 700 trang web, bao gồm các lĩnh vực đại học, blockchain, trí tuệ nhân tạo (AI), phần mềm dịch vụ (SaaS), nghiên cứu bảo mật, truyền thông và công nghệ tài chính. Việc các trang web hợp pháp bị xâm phạm có thể làm tăng đáng kể tỷ lệ thành công của các cuộc tấn công ClickFix.

Danh sách các trang web bị xâm nhập
Phân tích cho thấy hàng trăm website thuộc nhiều lĩnh vực khác nhau đã bị tấn công.

Cơ chế hoạt động của mã độc ClickFix

Mã JavaScript được chèn vào cuối bài viết hoạt động như một loader hai giai đoạn, chịu trách nhiệm tải payload chính khi thực thi từ một tên miền bên ngoài (clo4shara[.]xyz/11z77u3.php). Kiến trúc này mang lại sự linh hoạt vì nó cho phép kẻ tấn công thay đổi các payload dựa trên các tiêu chí khác nhau, trong khi vẫn giữ nguyên chức năng của loader trên nhiều trang web bị xâm nhập.

Sử dụng dịch vụ Adspect để ẩn mình

"Việc truy cập trực tiếp vào clo4shara[.]xyz/11z77u3.php sẽ tiết lộ một đoạn mã, thực chất là một tập lệnh phân phối lưu lượng truy cập điển hình," XLab giải thích. "Chức năng cốt lõi của nó là thu thập thông tin dấu vân tay (fingerprint) khác nhau từ trình duyệt của người dùng và tải nó lên máy chủ, sau đó thực hiện các hành động như chuyển hướng, hiển thị popup và tải xuống dựa trên các hướng dẫn được trả về." Tập lệnh PHP này được cung cấp bởi Adspect, một dịch vụ cloaking thương mại.

Ý tưởng đằng sau việc sử dụng tập lệnh cloaking là để đảm bảo rằng chỉ những nạn nhân thực sự mới nhận được payload thực tế, trong khi các trình quét bảo mật và trình thu thập dữ liệu (crawler) sẽ chỉ thấy một trang web lành tính. Tập lệnh này cũng hỗ trợ 19 lệnh khác nhau để chạy mã JavaScript tùy ý và tạo điều kiện điều khiển từ xa trình duyệt của nạn nhân.

Từ CAPTCHA giả mạo đến thực thi mã PowerShell

Những khách truy cập trang web được coi là mục tiêu dự kiến cuối cùng sẽ được hiển thị một trang xác minh CAPTCHA giả mạo bên trong một iframe để chứng minh họ là con người. Điều này sẽ kích hoạt một cuộc tấn công ClickFix, theo đó họ được hướng dẫn sao chép và dán một lệnh được mã hóa Base64 vào hộp thoại Windows Run.

Lệnh này đóng vai trò là một dropper để tải xuống một kho lưu trữ ZIP, giải nén tập lệnh batch Windows và thực thi nó. Tập lệnh này sau đó thực thi một lệnh PowerShell để tải xuống tệp DLL từ một tên miền từ xa, khởi chạy nó bằng rundll32.exe và mở một trang web giả mạo để đánh lạc hướng người dùng.

Các phiên bản tiếp theo của phần mềm độc hại đã thay thế DLL bằng payload JavaScript. Bất kể loại payload nào, mục tiêu cuối cùng của cuộc tấn công là thả một tệp thực thi Windows. Trong trường hợp của DLL, tệp thực thi là một ứng dụng PuTTY có chứng chỉ ký mã hợp lệ. Binary được phân phối qua JavaScript là bộ cài đặt Inno Setup cho một ứng dụng Electron.

Ứng dụng này là phiên bản sửa đổi của mã nguồn mở Grape desktop client, được thiết kế để duy trì sự hiện diện và thăm dò máy chủ từ xa (web-telegram[.]ug) sau mỗi 30 giây để xử lý các hướng dẫn do kẻ tấn công đưa ra.

Khuyến nghị bảo mật

Người dùng Ghost CMS được khuyến nghị thực hiện ngay các bước sau:

  • Nâng cấp phiên bản Ghost CMS lên bản mới nhất ngay lập tức.
  • Thay đổi (rotate) tất cả các thông tin đăng nhập và API key.
  • Dọn dẹp mã độc trên các trang web bị ảnh hưởng.
  • Kiểm tra nhật ký truy cập (access logs) để tìm các dấu hiệu hoạt động đáng ngờ.
  • Thông báo cho người dùng có thể đã truy cập trang web trong thời gian bị nhiễm mã độc về nguy cơ bị xâm phạm.