SchwachstellenHackerangriffeMalware

Ghost CMS: Kritische SQL-Injection-Lücke wird in großflächiger ClickFix-Kampagne ausgenutzt

Von CyberDeutsch Redaktion
Ghost CMS: Kritische SQL-Injection-Lücke wird in großflächiger ClickFix-Kampagne ausgenutzt
Zusammenfassung

Eine großangelegte Angriffskampagne missbraucht eine kritische SQL-Injection-Lücke (CVE-2026-26980) im weit verbreiteten Ghost CMS, um bösartigen JavaScript-Code in Websites einzuschleusen und ClickFix-Attacken auszuführen. Sicherheitsforscher der chinesischen Cybersecurity-Firma Qianxin haben die Schwachstelle in über 700 Domains dokumentiert, darunter führende Institutionen wie Harvard und Oxford University sowie das Datenschutz-Portal DuckDuckGo. Die kritische Sicherheitslücke betrifft Ghost-Versionen 3.24.0 bis 6.19.0 und ermöglicht es unauthentifizierten Angreifern, Admin-API-Schlüssel zu stehlen und damit volle Kontrolle über Website-Inhalte zu erlangen. Obwohl Betreiber bereits seit Februar ein Sicherheitsupdate zur Verfügung haben, haben viele Websites das Patch nicht eingespielt. Die Angreifer nutzen die gestohlenen Schlüssel, um manipulierten JavaScript-Code in Artikel einzubauen, der Besucher einer gefälschten Cloudflare-Verifizierung aussetzt und sie dazu verleitet, schädliche Befehle auszuführen. Für deutsche Unternehmen und Institutionen, die Ghost CMS betreiben – insbesondere im akademischen, Fintech- und Medienbereich – ist sofortige Aktualisierung auf Version 6.19.1 sowie eine vollständige Sicherheitsüberprüfung existierender Websites essentiell.

Die Sicherheitsforscher von XLab haben die Malware-Kampagne analysiert und dokumentiert, wie die Angreifer systematisch vorgehen. Die betroffene Schwachstelle CVE-2026-26980 betrifft Ghost CMS in den Versionen 3.24.0 bis 6.19.0 und ermöglicht es unauthentifizierten Angreifern, willkürliche Daten aus der Website-Datenbank auszulesen – einschließlich der sensiblen Admin-API-Schlüssel.

Mit diesen gestohlenen Zugängen erhalten die Hacker umfassende Verwaltungsrechte über Benutzer, Artikel und Design-Elemente der Website. Dies ermöglicht ihnen, beliebig JavaScript-Code in Artikel einzuschleusen. Der injizierte Code fungiert als leichter Lader, der weitere bösartige Code von den Servern der Angreifer nachlädt.

Der zweite Stage des Angriffs arbeitet mit Fingerprinting: Ein sogenannter Cloaking-Script analysiert die Besucher und bestimmt, ob sie als potenzielle Opfer qualifizieren. Ausgewählten Besuchern wird dann ein gefälschtes Cloudflare-Authentifizierungs-Fenster angezeigt, das über ein iframe in die Artikel-Seite eingebettet ist. Das Fenster fordert Nutzer auf, einen bereitgestellten Befehl in die Windows-Eingabeaufforderung zu kopieren – dies führt zur Installation der eigentlichen Malware.

XLab hat mehrere unterschiedliche Payloads beobachtet, darunter DLL-Loader, JavaScript-Dropper und eine auf Electron basierende Malware namens UtilifySetup.exe. Dies deutet darauf hin, dass mehrere Angreifer-Gruppen die Schwachstelle aktiv ausnutzen oder dass ein einzelner Akteur verschiedene Taktiken testet.

SentinelOne veröffentlichte am 27. Februar detaillierte Informationen zur Exploitation und zu Erkennungsmustern. Die Forscher identifizierten mindestens zwei unterschiedliche Aktivitäts-Cluster, die vulnerable Ghost-Installationen anvisieren. Besonders auffällig: Einige Domains werden mehrfach re-infiziert, entweder mit verschiedenen Malware-Varianten oder weil Angreifer jeweils die Skripte der Konkurrenz entfernen und ihre eigenen einschleusen.

Für Ghost-Administratoren sind sofortige Maßnahmen essentiell: Upgrade auf Version 6.19.1 oder neuer, Rotation aller Admin-API-Schlüssel und eine gründliche Überprüfung der Website-Inhalte. XLab stellt eine Liste mit Indicators of Compromise (IoCs) zur Verfügung. Die Forscher empfehlen zudem, Admin-API-Call-Logs mindestens 30 Tage zu speichern, um retrospektive Sicherheitsanalysen durchführen zu können.

Ähnliche Artikel