Les chercheurs de l'équipe de renseignement sur les menaces XLab de **Qianxin** ont découvert une campagne généralisée exploitant une vulnérabilité critique de type SQL injection (**CVE-2026-26980**) affectant **Ghost CMS**. Cette vulnérabilité est utilisée pour injecter du code JavaScript malveillant, déclenchant des flux d'attaques ClickFix à grande échelle. ### Étendue de l'attaque Les chercheurs de XLab ont confirmé que plus de 700 domaines ont été impactés, y compris des portails universitaires, des entreprises d'IA/SaaS, des médias, des entreprises fintech, des sites de sécurité et des blogs personnels. Des institutions de renom telles que l'**Université Harvard**, l'**Université d'Oxford**, l'**Université d'Auburn**, et même **DuckDuckGo** figurent parmi les sites compromis.  *Source : XLab* ### CVE-2026-26980 : La vulnérabilité **CVE-2026-26980** affecte les versions 3.24.0 à 6.19.0 de **Ghost**. Elle permet à des attaquants non authentifiés de lire des données arbitraires de la base de données du site web, y compris les clés API d'administration cruciales. Ces clés accordent un accès de gestion étendu, permettant la modification des utilisateurs, des articles et des thèmes. Un correctif a été publié le 19 février dans la version 6.19.1 de **Ghost CMS** ; cependant, de nombreux sites n'ont pas encore appliqué la mise à jour de sécurité nécessaire. **SentinelOne** a publié des détails le 27 février concernant l'exploitation de **CVE-2026-26980**, y compris des méthodes de détection. Leurs recherches ont identifié plusieurs clusters d'activité distincts ciblant les sites Ghost vulnérables, certains domaines étant infectés à plusieurs reprises avec différents scripts.  *Source : XLab* ### Décomposition de la chaîne d'attaque Les attaques observées suivent un schéma spécifique : 1. **Exploitation :** Les attaquants exploitent **CVE-2026-26980** pour voler les clés API d'administration. 2. **Injection :** Ils utilisent les clés API volées pour injecter du JavaScript malveillant dans les articles. 3. **Mise en scène :** Le JavaScript injecté agit comme un chargeur léger, récupérant le code de second niveau depuis l'infrastructure de l'attaquant. 4. **Empreinte digitale :** Ce code de second niveau effectue une empreinte digitale des visiteurs pour identifier les cibles potentielles. 5. **Appât ClickFix :** Les visiteurs ciblés se voient présenter une fausse invite **Cloudflare** via un iframe, menant à l'appât ClickFix.  *Source : XLab* Les victimes sont ensuite invitées à coller une commande fournie dans leur invite de commande Windows, ce qui dépose une payload sur leurs systèmes. Les payloads observées incluent des chargeurs DLL, des droppers JavaScript et un échantillon de malware basé sur Electron nommé `UtilifySetup.exe`. .jpg) *Source : XLab* ### Stratégies d'atténuation L'étape la plus critique est la mise à niveau vers **Ghost CMS** version 6.19.1 ou ultérieure et la rotation de toutes les clés précédemment utilisées, car elles doivent être considérées comme compromises. XLab a fourni des indicateurs de compromission (IoCs), y compris des scripts injectés, qui devraient être utilisés pour examiner minutieusement les sites web et supprimer tout code malveillant. Il est également conseillé aux propriétaires de sites web de conserver un enregistrement de 30 jours des journaux d'appels API d'administration pour faciliter des investigations rétrospectives efficaces.