QianxinのXLab脅威インテリジェンスチームの研究者たちは、Ghost CMSに影響を与える重大なSQLインジェクション脆弱性（CVE-2026-26980）を悪用する広範なキャンペーンを発見しました。この脆弱性は、悪意のあるJavaScriptコードを注入し、大規模なClickFix攻撃フローをトリガーするために利用されています。 ### 攻撃の範囲 XLabの研究者たちは、大学ポータル、AI/SaaS企業、メディアアウトレット、フィンテック企業、セキュリティサイト、個人ブログを含む700以上のドメインが影響を受けていることを確認しました。ハーバード大学、オックスフォード大学、オーバーン大学といった著名な機関、さらにはDuckDuckGoも侵害されたサイトに含まれています。  *出典: XLab* ### CVE-2026-26980: 脆弱性 CVE-2026-26980はGhostバージョン3.24.0から6.19.0に影響します。これにより、認証されていない攻撃者は、最も重要な管理者APIキーを含む、ウェブサイトデータベースから任意のデータを読み取ることができます。これらのキーは広範な管理アクセスを付与し、ユーザー、記事、テーマの変更を可能にします。 パッチは2月19日にGhost CMSバージョン6.19.1でリリースされましたが、多くのサイトではまだ必要なセキュリティアップデートが適用されていません。 SentinelOneは2月27日に、CVE-2026-26980の悪用に関する詳細を公開しました。これには検出方法も含まれています。彼らの研究では、脆弱なGhostサイトを標的とする複数の異なるアクティビティクラスターが特定されており、一部のドメインは異なるスクリプトで繰り返し感染していました。  *出典: XLab* ### 攻撃チェーンの分解 観測された攻撃は特定のパターンに従っています。 1. **悪用:** 攻撃者はCVE-2026-26980を悪用して管理者APIキーを盗みます。 2. **注入:** 盗んだAPIキーを使用して、記事に悪意のあるJavaScriptを注入します。 3. **ステージング:** 注入されたJavaScriptは軽量ローダーとして機能し、攻撃者のインフラストラクチャからセカンドステージコードを取得します。 4. **フィンガープリンティング:** このセカンドステージコードは訪問者をフィンガープリントし、潜在的なターゲットを特定します。 5. **ClickFixルアー:** 標的となった訪問者には、iframeを介して偽のCloudflareプロンプトが表示され、ClickFixルアーに誘導されます。  *出典: XLab* その後、被害者は提供されたコマンドをWindowsコマンドプロンプトに貼り付けるように指示され、システムにペイロードがドロップされます。観測されたペイロードには、DLLローダー、JavaScriptドロッパー、および`UtilifySetup.exe`という名前のElectronベースのマルウェアサンプルが含まれていました。 .jpg) *出典: XLab* ### 緩和策 最も重要なステップは、Ghost CMSバージョン6.19.1以降にアップグレードし、以前使用されていたすべてのキーをローテーションすることです。これらは侵害されたと見なされるべきです。XLabは、侵害されたスクリプトを含む侵害の兆候（IoC）を提供しており、これらを使用してウェブサイトを徹底的にレビューし、悪意のあるコードを削除する必要があります。 ウェブサイト所有者は、効果的な遡及調査を容易にするために、管理者API呼び出しログの30日間の記録を維持することも推奨されます。