SchwachstellenHackerangriffeMalware

Über 700 Websites gehackt: Ghost-CMS-Lücke wird massiv ausgenutzt

Von CyberDeutsch Redaktion
Über 700 Websites gehackt: Ghost-CMS-Lücke wird massiv ausgenutzt
Zusammenfassung

Eine schwerwiegende Sicherheitslücke im beliebten Content-Management-System Ghost hat zu einer massiven Angriffswelle geführt, bei der über 700 Websites kompromittiert wurden. Die Schwachstelle CVE-2026-26980, eine SQL-Injection-Flaw, wurde bereits im Februar gepatcht, wird aber aktuell von Hackern in großem Stil ausgenutzt. Unter den betroffenen Seiten befinden sich renommierte Institutionen wie Harvard University, Oxford University und die Suchmaschine DuckDuckGo. Die Angreifer exploitieren die Lücke, um Admin-API-Keys zu stehlen und damit bösartige JavaScript-Loader in die Website-Inhalte einzuschleusen – insbesondere für ClickFix-Attacken. Das chinesische Sicherheitsunternehmen Qianxin hat festgestellt, dass mindestens zwei Hacker-Gruppen aktiv an solchen Angriffen beteiligt sind und teilweise um die gleichen Ziele konkurrieren. Für deutsche Unternehmen und Behörden, die Ghost nutzen, ist es essentiell, sofort zu überprüfen, ob ihre Systeme aktualisiert sind, da die fehlende Patch-Installation ein erhebliches Risiko darstellt. Die hohe Quote von ungepatchen Instanzen deutet darauf hin, dass viele Betreiber noch nicht reagiert haben, weshalb eine sofortige Sicherheitsüberprüfung dringend empfohlen wird.

Die Sicherheitslücke CVE-2026-26980 wurde bereits im Februar gepatcht, doch viele Betreiber spielten das Update nicht zeitnah ein. Dies nutzen Angreifer systematisch aus: Sie extrahierten über die SQL-Injection-Flaw die Admin-API-Keys der betroffenen Websites und nutzten diese, um auf das Backend zuzugreifen. Dort injizierten sie schließlich bösartige JavaScript-Code in bestehende Artikel – speziell Loader für ClickFix-Attacken, eine moderne Variante von Malware-Angriffen, die Nutzer über gefälschte Meldungen zur Installation von Schadsoftware verleiten.

Bemerkenswert ist der Zeitstempel eines in den Angriffen verwendeten DLL-Files: 16. Februar – genau der Tag, an dem der Patch für CVE-2026-26980 angekündigt wurde. Qianxin begann jedoch erst im frühen Mai, gehackte Websites zu identifizieren. Das deutet darauf hin, dass Angreifer organisiert vorgingen und gezielt nach noch ungepatchten Ghost-Installationen suchten.

Aus der Analyse der über 700 kompromittierten Seiten ergibt sich ein differenziertes Bild: Etwa die Hälfte sind persönliche Blogs und unabhängige Websites, doch auch Dutzende Softwareentwicklungs- und Tech-Blogs, Kryptowährungs- und KI-Plattformen wurden getroffen. Das breite Spektrum zeigt, dass Angreifer nicht selektiv vorgingen, sondern maschinell nach anfälligen Ghost-Installationen scannten.

Besonders problematisch: Qianxin benachrichtigte zwar viele Opfer, doch die Mehrheit reagierte nicht auf die Warnungen. Noch alarmierender ist die Beobachtung, dass mindestens zwei separate Angreifer-Gruppen aktiv sind und sich gegenseitig überschreiben – auf manchen Websites wurden mehrmals täglich unterschiedliche Malware-Varianten eingeschleust.

Für deutsche Unternehmen und Behörden mit Ghost-Installationen ergibt sich eine dringende Handlungsnotwendigkeit. Das BSI rät zu sofortigen Updates und zur Überprüfung, ob Websites während des Infektionszeitraums manipuliert wurden. Besonders im Kontext der DSGVO-Meldepflicht für Datenschutzverletzungen könnten Betreiber in die Pflicht genommen werden – der Bundesdatenschutzbeauftragte (BfDI) mahnt regelmäßig zur rechtzeitigen Patchwartung.

Ähnliche Artikel