شناسایی آسیب‌پذیری بحرانی در Ghost CMS و اجرای حملات ClickFix

یک کارزار سایبری گسترده با سوءاستفاده از یک آسیب‌پذیری بحرانی از نوع SQL Injection (با شناسه CVE-2026-26980) در سیستم مدیریت محتوای Ghost، اقدام به تزریق کدهای مخرب جاوااسکریپت کرده است. این کدهای مخرب، زنجیره حملات موسوم به ClickFix را در سایت‌های هدف فعال می‌کنند.

این کارزار توسط پژوهشگران واحد اطلاعات تهدیدات در آزمایشگاه XLab (متعلق به شرکت امنیت سایبری چینی Qianxin) کشف شده است. طبق تایید این پژوهشگران، بیش از ۷۰۰ دامنه تحت تأثیر این حملات قرار گرفته‌اند؛ از جمله پورتال‌های دانشگاهی، شرکت‌های فعال در حوزه هوش مصنوعی و SaaS، رسانه‌های خبری، شرکت‌های فین‌تک، وب‌سایت‌های امنیتی و وبلاگ‌های شخصی.

بر اساس گزارش این محققان، عاملان تهدید موفق شده‌اند کدهای مخرب خود را در وب‌سایت‌های معتبری همچون دانشگاه‌های هاروارد، آکسفورد، آبرن و همچنین موتور جستجوی DuckDuckGo تزریق و مستقر کنند.

آسیب‌پذیری CVE-2026-26980 نسخه‌های ۳٫۲۴٫۰ تا ۶٫۱۹٫۰ سیستم Ghost را تحت تأثیر قرار می‌دهد. این حفره امنیتی به مهاجمان احراز هویت نشده اجازه می‌دهد تا داده‌های دلخواه را از پایگاه داده وب‌سایت، از جمله کلیدهای API مدیریت، استخراج کنند.

دسترسی به این کلیدها، امکان مدیریت کامل کاربران، مقالات و قالب‌ها را برای مهاجم فراهم کرده و به آن‌ها اجازه می‌دهد محتوای صفحات سایت را تغییر دهند.

اگرچه اصلاحیه این نقص امنیتی در تاریخ ۱۹ فوریه و در نسخه ۶٫۱۹٫۱ منتشر شد، اما بسیاری از وب‌سایت‌ها هنوز نسبت به نصب این به‌روزرسانی امنیتی اقدام نکرده‌اند.

در تاریخ ۲۷ فوریه، شرکت امنیتی SentinelOne جزئیات مربوط به بهره‌برداری از CVE-2026-26980 در حملات واقعی و روش‌های شناسایی این حوادث را منتشر کرد. پژوهشگران دست‌کم دو Activity Cluster مجزا را مشاهده کرده‌اند که سایت‌های آسیب‌پذیر Ghost را هدف قرار می‌دهند. در برخی موارد، این گروه‌ها پس از پاک‌سازی سایت، مجدداً با اسکریپت‌های متفاوت اقدام به آلوده‌سازی دامنه کرده‌اند؛ و در مواردی دیگر، یک گروه اقدام به حذف اسکریپت‌های رقیب کرده تا کد مخرب خود را جایگزین کند.

زنجیره حمله

حملات مشاهده‌شده توسط XLab با بهره‌برداری از آسیب‌پذیری CVE-2026-26980 جهت سرقت «کلیدهای API مدیریت» آغاز می‌شود. مهاجمان سپس با استفاده از این دسترسی‌های سطح بالا، کدهای مخرب جاوااسکریپت را به درون مقالات سایت تزریق می‌کنند.

این کد جاوااسکریپت در واقع یک «بارگذار سبک» است که کد مرحله دوم را از زیرساخت‌های متعلق به مهاجم فراخوانی می‌کند. این کد در اصل یک «اسکریپت استتاری» است که اقدام به Fingerprinting از بازدیدکنندگان می‌کند تا تشخیص دهد آیا آن‌ها شرایط لازم برای تبدیل شدن به هدف حمله را دارند یا خیر.

برای بازدیدکنندگانی که از فیلترهای تأیید مهاجمان عبور کنند، یک اعلان جعلی Cloudflare نمایش داده می‌شود. این اعلان که از طریق یک iframe روی محتوای اصلی مقاله قرار می‌گیرد، حاوی «فریب‌های حملات ClickFix است تا کاربر را به انجام اقدامات مخرب ترغیب کند.

نحوه فریب قربانی و بارگذاری بدافزار

در این مرحله، صفحه وب به قربانی دستور می‌دهد تا برای اثبات «انسان بودن»، فرمان ارائه شده را در خط فرمان ویندوز خود کپی و اجرا کند. اجرای این دستور باعث بارگذاری و استقرار یک Payload مخرب بر روی سیستم کاربر می‌شود.

پژوهشگران XLab در این حملات چندین نوع پیلود مختلف را شناسایی کرده‌اند که شامل موارد زیر است:

• DLL Loaders: (بارگذارهای DLL) جهت اجرای کدهای مخرب در حافظه سیستم.
• JavaScript Droppers: (قطره‌چکان‌های جاوااسکریپت) برای دانلود و نصب خودکار بدافزارهای پیچیده‌تر.
• UtilifySetup.exe: یک نمونه بدافزار مبتنی بر پلتفرم Electron.

راهکارهای کاهش مخاطرات

حیاتی‌ترین اقدام برای مدیران وب‌سایت‌های مبتنی بر Ghost CMS، ارتقا به نسخه ۶٫۱۹٫۱ یا نسخه‌های بالاتر است. همچنین با توجه به احتمال لو رفتن کلیدهای دسترسی قبلی، ضروری است تمامی کلیدهای استفاده‌شده بلافاصله تغییر یافته و بازنشانی شوند

آزمایشگاه XLab فهرستی از «شاخص‌های آلودگی» (IoCs)، از جمله اسکریپت‌های تزریق‌شده را ارائه کرده است؛ بنابراین انجام یک بازبینی دقیق در تمامی بخش‌های وب‌سایت برای شناسایی و حذف این موارد الزامی است.

پژوهشگران توصیه می‌کنند که صاحبان وب‌سایت‌ها، لاگ‌های مربوط به فراخوانی‌های Admin API را حداقل به مدت ۳۰ روز نگهداری کنند تا در صورت بروز حادثه، امکان انجام «تحقیقات بازنگرانه» و تحلیل دقیق منشأ نفوذ فراهم باشد.