Administruoji svetainę, atnaujini turinį, seki srautą — ir staiga pastebi, kad tavo straipsniuose atsirado kažkieno kito JavaScript. Ne tavo kodo, ne klaidos — o specialiai įterptas krautuvas, kuris lankytojams rodo netikrą „Cloudflare" patikros langą ir ragina įvykdyti komandą, atveriančią duris į jų kompiuterius.

Būtent toks scenarijus pastarosiomis savaitėmis išsipildė daugiau nei 700 domenų. Kinijos kibernetinio saugumo bendrovės „Qianxin" tyrėjų komanda „XLab" užfiksavo didelio masto atakų kampaniją, išnaudojančią kritinę SQL injekcijos spragą (CVE-2026-26980) populiarioje turinio valdymo sistemoje „Ghost CMS".

Harvardas, Oksfordas ir antis

Spraga veikia „Ghost" versijose nuo 3.24.0 iki 6.19.0 ir leidžia neautentifikuotiems užpuolikams nuskaityti bet kokius duomenis iš svetainės duomenų bazės — įskaitant administratoriaus API raktus. Turėdamas šį raktą, užpuolikas gali keisti straipsnius, vartotojus ir temas taip, lyg būtų tikrasis svetainės savininkas.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Tarp paveiktų svetainių — Harvardo, Oksfordo ir Auburno universitetų portalai, „DuckDuckGo", taip pat dirbtinio intelekto, finansinių technologijų ir žiniasklaidos įmonių domenai. Sąrašas skamba solidžiai — ir būtent tai parodo, kad spraga paveikė ne tik mėgėjiškus tinklaraščius.

Pataisymas buvo išleistas dar vasario 19 dieną (versija 6.19.1), o „SentinelOne" vasario 27-ąją paskelbė išsamią atakos analizę. Visgi daugelis administratorių diegti atnaujinimo neskubėjo.

Dvigubas smūgis

„XLab" tyrėjai pastebėjo, kad veikia bent dvi skirtingos atakuotojų grupės. Kartais jos perimdavo viena kitos užkrėstas svetaines — viena išvalydavo kitos skriptą, kad įterptų savo. Kai kuriems domenams tai nutiko pakartotinai po to, kai administratoriai jau buvo atlikę valymą.

Pati ataka veikia etapais: pirmiausia išgaunamas API raktas, tada į straipsnius įterpiamas lengvas JavaScript krautuvas. Šis kodas tikrina lankytojo naršyklės pirštų antspaudą ir nusprendžia, ar rodyti netikrą „Cloudflare" patikrą. „Patikros" lange aukai siūloma įklijuoti komandą į „Windows" komandinę eilutę — ir štai, kenkėjiškas kodas jau sistemoje.

Tarp aptiktų kenkėjiškų programų — DLL krautuvai, „JavaScript" lašintuvai ir „Electron" pagrindu sukurtas failas „UtilifySetup.exe".

Ką daryti? Pirmas žingsnis akivaizdus: atnaujinti „Ghost CMS" iki 6.19.1 ar naujesnės versijos. Antras — pakeisti visus anksčiau naudotus API raktus, nes jie gali būti sukompromituoti. Trečias — peržiūrėti svetainės failus ir pašalinti svetimus skriptus („XLab" paskelbė užkrėtimo indikatorių sąrašą). Tyrėjai taip pat rekomenduoja saugoti bent 30 dienų administratoriaus API iškvietimų žurnalus — be jų retrospektyvus tyrimas praktiškai neįmanomas.

Dažnai užduodami klausimai

Ar mano „Ghost CMS" svetainė gali būti paveikta?
Jei naudojate versiją nuo 3.24.0 iki 6.19.0 ir neatnaujinote iki 6.19.1 ar naujesnės, jūsų svetainė yra pažeidžiama. Rekomenduojama nedelsiant atnaujinti ir pakeisti API raktus.
Kaip sužinoti, ar svetainė jau užkrėsta?
Patikrinkite, ar straipsnių kode nėra svetimų JavaScript fragmentų, ypač krautuvų, kurie kreipiasi į išorinius domenus. „XLab" paskelbė techninius užkrėtimo indikatorius, pagal kuriuos galima atlikti paiešką.
Ką daryti, jei API raktai buvo pavogti?
Nedelsdami pakeiskite visus API raktus „Ghost" administratoriaus skydelyje. Seni raktai turi būti panaikinti, o ne tik papildyti naujais. Po rakto pakeitimo peržiūrėkite, ar nebuvo sukurtas neleistinas turinys ar paskyros.

Šaltiniai

  1. BleepingComputerBleepingcomputer · 2026
  2. SentinelOneSentinelone · 2026