Forscher des Threat-Intelligence-Teams XLab von **Qianxin** haben eine weit verbreitete Kampagne aufgedeckt, die eine kritische SQL-Injection-Schwachstelle (**CVE-2026-26980**) ausnutzt, die **Ghost CMS** betrifft. Diese Schwachstelle wird genutzt, um bösartigen JavaScript-Code einzuschleusen und ClickFix-Angriffsmuster in großem Maßstab auszulösen. ### Umfang des Angriffs Die XLab-Forscher bestätigten, dass über 700 Domains betroffen sind, darunter Universitätsportale, KI/SaaS-Unternehmen, Medien, Fintech-Firmen, Sicherheitsseiten und persönliche Blogs. Zu den kompromittierten Websites gehören namhafte Institutionen wie die **Harvard University**, die **Oxford University**, die **Auburn University** und sogar **DuckDuckGo**.  *Quelle: XLab* ### CVE-2026-26980: Die Schwachstelle **CVE-2026-26980** betrifft **Ghost**-Versionen 3.24.0 bis 6.19.0. Sie ermöglicht es nicht authentifizierten Angreifern, beliebige Daten aus der Website-Datenbank zu lesen, einschließlich der wichtigen Admin-API-Schlüssel. Diese Schlüssel gewähren umfassenden Verwaltungszugriff und ermöglichen die Änderung von Benutzern, Artikeln und Themes. Ein Patch wurde am 19. Februar in **Ghost CMS** Version 6.19.1 veröffentlicht; viele Websites haben jedoch das notwendige Sicherheitsupdate noch nicht eingespielt. **SentinelOne** veröffentlichte am 27. Februar Details zur Ausnutzung von **CVE-2026-26980**, einschließlich Erkennungsmethoden. Ihre Forschung identifizierte mehrere unterschiedliche Aktivitätscluster, die anfällige Ghost-Websites ins Visier nahmen, wobei einige Domains wiederholt mit verschiedenen Skripten infiziert wurden.  *Quelle: XLab* ### Angriffskette im Detail Die beobachteten Angriffe folgen einem bestimmten Muster: 1. **Ausnutzung:** Angreifer nutzen **CVE-2026-26980** aus, um Admin-API-Schlüssel zu stehlen. 2. **Einschleusung:** Sie verwenden die gestohlenen API-Schlüssel, um bösartigen JavaScript-Code in Artikel einzuschleusen. 3. **Staging:** Der eingeschleuste JavaScript-Code fungiert als leichter Loader, der den Code der zweiten Stufe von der Infrastruktur des Angreifers abruft. 4. **Fingerprinting:** Dieser Code der zweiten Stufe erstellt Fingerabdrücke von Besuchern, um potenzielle Ziele zu identifizieren. 5. **ClickFix-Köder:** Zielbesucher erhalten über einen iFrame eine gefälschte **Cloudflare**-Aufforderung, die zum ClickFix-Köder führt.  *Quelle: XLab* Opfer werden dann aufgefordert, einen bereitgestellten Befehl in ihre Windows-Eingabeaufforderung einzufügen, der eine payload auf ihren Systemen ablegt. Beobachtete payloads umfassen DLL-Loader, JavaScript-Dropper und eine Electron-basierte Malware-Stichprobe namens `UtilifySetup.exe`. .jpg) *Quelle: XLab* ### Abhilfestrategien Der wichtigste Schritt ist das Upgrade auf **Ghost CMS** Version 6.19.1 oder höher und das Rotieren aller zuvor verwendeten Schlüssel, da diese als kompromittiert betrachtet werden sollten. XLab hat Indikatoren für Kompromittierung (IoCs) bereitgestellt, einschließlich eingeschleuster Skripte, die zur gründlichen Überprüfung von Websites und zur Entfernung bösartigen Codes verwendet werden sollten. Website-Betreibern wird außerdem geraten, Aufzeichnungen von Admin-API-Aufrufprotokollen über 30 Tage zu führen, um effektive nachträgliche Untersuchungen zu ermöglichen.