Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

1 minute de lecture

Mis à jour :

Campagne de compromission massive de Ghost CMS via ClickFix

Plus de 700 sites utilisant Ghost CMS ont été compromis dans le cadre d’une vaste campagne malveillante visant à diffuser des attaques de type « ClickFix ». Les attaquants exploitent une vulnérabilité critique pour injecter des scripts JavaScript malveillants, redirigeant les visiteurs vers des pages de faux CAPTCHA conçues pour inciter l’utilisateur à exécuter manuellement des commandes malveillantes sur leur machine.

Points clés :

  • Mode opératoire : L’exploitation permet aux attaquants de dérober la clé API d’administration du site. Cela leur donne un accès total pour modifier des articles en masse et injecter un chargeur JavaScript (loader) à la fin des pages.
  • Ingénierie sociale : Les victimes sont invitées à copier-coller une commande encodée en Base64 dans la boîte de dialogue « Exécuter » de Windows. Cette commande télécharge et installe des logiciels malveillants (souvent des versions modifiées d’applications légitimes ou des outils comme PuTTY) pour maintenir une persistance sur le système cible.
  • Cloaking : Les attaquants utilisent le service commercial Adspect pour masquer leur activité, garantissant que seuls les visiteurs ciblés voient le contenu malveillant, tandis que les outils de sécurité voient une page légitime.

Vulnérabilité :

  • CVE-2026-26980 (Score CVSS : 9.4) : Une faille d’injection SQL dans l’API de contenu de Ghost CMS. Elle permet à un attaquant non authentifié de lire des données sensibles de la base de données, incluant les clés API d’administration. (Corrigée depuis la version 6.19.1).

Recommandations :

  • Mise à jour immédiate : Passer impérativement à une version de Ghost CMS supérieure à 6.19.1.
  • Réinitialisation des accès : Modifier immédiatement toutes les clés API, mots de passe et jetons d’authentification associés à l’instance Ghost.
  • Audit et nettoyage : Examiner les journaux d’accès pour détecter toute activité suspecte, vérifier l’intégrité des articles publiés et supprimer tout script injecté malveillant.
  • Communication : Informer les utilisateurs ayant visité les sites durant la période de compromission d’un risque potentiel de sécurité.

Source

Vous pourriez aimer