Критическая уязвимость в Ghost CMS уже стала частью крупной атаки, которую исследователи связали более чем с 700 доменами. Злоумышленники используют ошибку в базе данных, крадут ключи администратора и подсовывают на сайты вредоносный JavaScript.
Что произошло
Речь идет об уязвимости CVE-2026-26980 в Ghost CMS — системе управления контентом для сайтов и блогов. По данным исследователей, проблема затрагивает версии с 3.24.0 по 6.19.0, а исправление вышло 19 февраля в Ghost CMS 6.19.1.
Атака особенно опасна тем, что злоумышленникам не нужен логин в админку. Они добираются до данных через SQL-инъекцию, то есть подставляют специально подготовленный запрос в уязвимое место и читают содержимое базы, включая admin API keys.
Как работает схема
После кражи ключей атакующие получают административный доступ к пользователям, статьям и темам оформления. Этого хватает, чтобы менять страницы сайта и внедрять свой код прямо в контент.
Дальше в статью подгружается легкий загрузчик, который тянет следующий этап с инфраструктуры злоумышленников. Этот этап уже проверяет посетителя и решает, подходит ли он под их цель.
Если проверка проходит, человек видит поддельный запрос Cloudflare поверх страницы — через iframe. Там жертве предлагают подтвердить, что она человек, и вставить команду в командную строку Windows. После этого на компьютер загружается вредоносный файл.
Именно такой сценарий относится к ClickFix — схеме, где жертву не ломают технически в лоб, а заставляют сама выполнить опасное действие. Похожий принцип мы уже разбирали в материале о типичных ошибках, которые ведут ко взлому: одна небрежность на старте часто открывает путь ко всей цепочке атаки.
Почему это опасно
Главная проблема здесь не только в уязвимости, но и в доверии к самому сайту. Когда атакующие подменяют статью или встраивают скрипт в контент, посетитель видит знакомый домен и привычный интерфейс, а значит меньше подозревает подвох.
Исследователи зафиксировали как минимум две разные группы активности. Иногда они повторно заражали один и тот же домен после очистки, а иногда одна группа стирала следы другой и встраивала свой скрипт.
В атаках уже замечали разные полезные нагрузки: загрузчики DLL, JavaScript-распространители и даже образец вредоносной программы UtilifySetup.exe. Это говорит о том, что кампания не ограничивается одной схемой и может меняться по ходу атаки.
Как понять, что риск касается вас
В зоне риска находятся администраторы сайтов на Ghost CMS, особенно если система давно не обновлялась. Если сайт работает на версии до 6.19.1, его уже стоит считать потенциально уязвимым до проверки.
Повод для тревоги — неожиданные правки в статьях, появление чужих скриптов, странные всплывающие окна и жалобы посетителей на редиректы или подозрительные команды. Еще один важный признак — следы неизвестных обращений к admin API.
Для журналистских, университетских, корпоративных и медийных сайтов риск выше: злоумышленники целятся именно в площадки с трафиком и репутацией. Такой взлом быстро превращает обычную публикацию в точку распространения вредоносного кода.
Что делать владельцам сайтов
Первый шаг — обновить Ghost CMS до 6.19.1 или более новой версии. Второй — сменить все ключи, которые могли утечь до исправления, потому что старые значения уже нельзя считать безопасными.
Затем нужно проверить сайт на внедренные скрипты и сверить его с индикаторами компрометации, если они доступны у исследователей или у вашего подрядчика. Важно не ограничиваться визуальным осмотром: вредонос может сидеть в шаблонах, статьях и подключаемых файлах.
Полезно сохранить логи обращений к admin API минимум за 30 дней. Это поможет потом понять, когда именно началась подмена и какие учетные данные могли использоваться.
Если сайт администрирует небольшая команда, стоит разделить доступы и убрать лишние ключи. Такой подход работает и против цепочек поставки, и против банальной кражи секретов — об этом мы уже писали в разборе атаки на цепочку поставок пакетов.
Практический чек-лист
- Проверить версию Ghost CMS и обновить ее до 6.19.1 или новее.
- Сменить все admin API keys и другие секреты, которые могли быть доступны до обновления.
- Просмотреть статьи, шаблоны и подключаемые файлы на чужой JavaScript.
- Сверить сайт с индикаторами компрометации и удалить найденные следы вручную и из резервных копий.
- Сохранить логи admin API минимум за 30 дней.
- Ограничить число людей с админ-доступом и пересмотреть права.
- Для поездок и работы вне офиса использовать защищенное подключение для командировок только как часть общей гигиены данных, а не как замену обновлениям и проверкам.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.