มีการโจมตีครั้งใหญ่โดยใช้ช่องโหว่การโจมตีแบบ SQL injection ระดับ critical (CVE-2026-26980) ใน Ghost CMS เพื่อแทรกโค้ด JavaScript ที่เป็นอันตราย ซึ่งจะทำให้เกิดการโจมตีด้วย ClickFix flows ตามมา
แคมเปญนี้ถูกค้นพบโดยนักวิจัยด้านภัยคุกคามจาก XLab ซึ่งสังกัด Qianxin บริษัทด้านความปลอดภัยทางไซเบอร์ของจีน โดยยืนยันผลกระทบที่เกิดขึ้นกับโดเมนมากกว่า 700 แห่ง รวมถึงพอร์ทัลของมหาวิทยาลัย บริษัท AI/SaaS สื่อต่าง ๆ บริษัทฟินเทค เว็บไซต์ด้านความปลอดภัย และบล็อกส่วนตัว
ตามที่นักวิจัยระบุ ผู้โจมตีได้ทำการฝังโค้ดที่เป็นอันตรายไว้บนเว็บไซต์ของมหาวิทยาลัยฮาร์วาร์ด มหาวิทยาลัยออกซ์ฟอร์ด มหาวิทยาลัยออเบิร์น และ DuckDuckGo
CVE-2026-26980 ส่งผลกระทบต่อ Ghost เวอร์ชัน 3.24.0 ถึง 6.19.0 และทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถอ่านข้อมูลใด ๆ จากฐานข้อมูลของเว็บไซต์ได้ รวมถึง API Keys สำหรับผู้ดูแลระบบ
คีย์นี้จะให้สิทธิ์ในการเข้าถึง และจัดการผู้ใช้, บทความ และธีม ตลอดจนสามารถนำไปใช้เพื่อปรับแต่ง หรือแก้ไขหน้าบทความได้
แม้ว่าการแก้ไขปัญหานี้จะได้รับการเผยแพร่เมื่อวันที่ 19 กุมภาพันธ์ใน Ghost CMS เวอร์ชัน 6.19.1 แต่เว็บไซต์จำนวนมากก็ยังไม่ได้ทำการติดตั้งแพตช์อัปเดตด้านความปลอดภัยนี้
เมื่อวันที่ 27 กุมภาพันธ์ SentinelOne ได้เผยแพร่รายละเอียดเกี่ยวกับการที่ช่องโหว่ CVE-2026-26980 ที่กำลังถูกนำไปใช้ในการโจมตี รวมถึงวิธีการตรวจจับเหตุการณ์ดังกล่าว นักวิจัยสังเกตพบกลุ่มการโจมตีอย่างน้อยสองกลุ่มที่มุ่งเป้าไปที่เว็บไซต์ Ghost ที่มีช่องโหว่ โดยในบางครั้งมีการกลับมาแพร่มัลแวร์ซ้ำในโดเมนเดิมด้วยสคริปต์ที่แตกต่างออกไป หลังจากที่เว็บไซต์ถูก cleanup ข้อมูลไปแล้ว หรือกลุ่มผู้โจมตีอีกกลุ่มหนึ่งอาจทำการ cleanup สคริปต์ของอีกกลุ่มออก เพื่อแทรกสคริปต์ของตนเองลงไปแทน
ขั้นตอนการโจมตี
การโจมตีที่ XLab สังเกตพบ เริ่มต้นจากการใช้ช่องโหว่ CVE-2026-26980 เพื่อขโมย API Keys สำหรับผู้ดูแลระบบ จากนั้นจึงใช้สิทธิ์ระดับสูงที่ได้มาเพื่อแทรกโค้ด JavaScript ที่เป็นอันตรายลงในบทความต่าง ๆ
โค้ด JavaScript ดังกล่าวทำหน้าที่เป็น loader ขนาดเล็กที่จะไปดึงโค้ดในขั้นตอนที่สองมาจากโครงสร้างพื้นฐานของผู้โจมตี ซึ่งโดยหลักแล้วมันคือสคริปต์พรางตัว (cloaking script) ที่ตรวจสอบ fingerprints ของผู้เข้าชมเพื่อประเมินว่าตรงกับคุณสมบัติการเป็นเป้าหมายหรือไม่
ผู้เข้าชมที่ผ่านการคัดกรองดังกล่าวจะพบกับหน้าต่างแจ้งเตือน Cloudflare ปลอมที่ถูกโหลดผ่าน iframe บนหน้าบทความ ซึ่งมีโค้ดล่อลวง ClickFix อยู่
หน้าเว็บดังกล่าวจะหลอกให้เหยื่อยืนยันตัวตนว่าเป็นมนุษย์ โดยให้คัดลอกคำสั่งที่เตรียมไว้ไปวางในหน้าต่าง Windows command prompt ซึ่งจะติดตั้งมัลแวร์ลงในระบบของเหยื่อ
XLab สังเกตพบการใช้ payload หลายประเภทในการโจมตีเหล่านี้ ซึ่งรวมถึง DLL loaders, JavaScript droppers และตัวอย่างมัลแวร์ Electron-based ที่มีชื่อว่า UtilifySetup.exe
การลดความเสี่ยง
สิ่งสำคัญที่สุดที่ผู้ดูแลเว็บไซต์ Ghost CMS คือการอัปเกรดระบบเป็นเวอร์ชัน 6.19.1 หรือใหม่กว่า และทำการเปลี่ยนคีย์ทั้งหมดที่เคยใช้งานก่อนหน้านี้ เนื่องจากคีย์เหล่านั้นอาจถูกเปิดเผยไปแล้ว
XLab ได้เผยแพร่รายการตัวบ่งชี้ร่องรอยการบุกรุก (IoCs) ซึ่งรวมถึงสคริปต์ที่ถูกแทรกเอาไว้ ดังนั้นผู้ดูแลระบบจึงจำเป็นต้องตรวจสอบเว็บไซต์อย่างละเอียดเพื่อค้นหา และลบสคริปต์อันตรายเหล่านี้ออกไป
นักวิจัยยังแนะนำให้เจ้าของเว็บไซต์เก็บประวัติบันทึกการเรียกใช้งาน API ของผู้ดูแลระบบย้อนหลังเป็นเวลา 30 วัน เพื่อให้สามารถทำการตรวจสอบย้อนหลังได้อย่างน่าเชื่อถือหากเกิดปัญหาขึ้น
ที่มา : Bleepingcomputer
You must be logged in to post a comment.