Lỗ hổng Ghost CMS bị khai thác để tấn công hơn 700 trang web

Lỗ hổng Ghost CMS bị khai thác để tấn công hơn 700 trang web

Một lỗ hổng bảo mật trong nền tảng Ghost CMS đã bị tin tặc khai thác rộng rãi, ảnh hưởng đến hàng trăm trang web của các tổ chức lớn như Harvard, Oxford và DuckDuckGo. Các cuộc tấn công nhằm cài đặt mã độc để đánh cắp dữ liệu và thực hiện các hoạt động độc hại.

Hệ thống website bị tấn công

Lỗ hổng CVE-2026-26980 và nền tảng Ghost

Theo báo cáo từ công ty an ninh mạng Qianxin (Trung Quốc), một lỗ hổng đã được vá vài tháng trước trong hệ thống quản lý nội dung (CMS) Ghost đang bị khai thác để tấn công hàng loạt các trang web. Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-26980 và lần đầu tiên được công bố cùng với bản vá lỗi vào tháng 2.

Ghost là một CMS mã nguồn mở phổ biến được thiết kế riêng cho việc viết blog, bản tin và xuất bản nội dung. Nền tảng này cung cấp các công cụ tích hợp sẵn cho tư cách thành viên, đăng ký ký và kiếm tiền từ độc giả. Theo nhà phát triển, hiện có hơn 100.000 trang web đang sử dụng Ghost.

Khi CVE-2026-26980 được công bố, SentinelOne đã cảnh báo rằng đây là một lỗ hổng tiêm mã SQL (SQL injection). Kẻ tấn công không cần xác thực có thể khai thác lỗi này để trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu của Ghost, bao gồm mã thông báo xác thực, thông tin đăng nhập của người dùng và nội dung trang web.

Cơ chế tấn công và danh sách nạn nhân

Qianxin cho biết các tác nhân đe dọa đã tận dụng lỗ hổng này để lấy được Admin API Key của các trang web mục tiêu. Sau khi có được khóa này, chúng sử dụng API để thay đổi các bài đăng trên các trang web sử dụng Ghost. Cụ thể, kẻ tấn công đã chèn các trình tải JavaScript độc hại được thiết kế cho các cuộc tấn công kiểu ClickFix.

Dấu thời gian biên dịch của một tệp DLL được sử dụng trong cuộc tấn công là ngày 16 tháng 2, trùng khớp với ngày bản vá lỗi cho CVE-2026-26980 được công bố. Qianxin bắt đầu phát hiện các trang web bị xâm nhập vào đầu tháng 5.

Logo SecurityWeek

Công ty an ninh này đã xác định hơn 700 trang web bị xâm phạm trong chiến dịch này, bao gồm các trang web của các tổ chức lớn như DuckDuckGo, Đại học Harvard và Đại học Oxford.

Phân tích cho thấy gần một nửa số trang web bị hack là các blog cá nhân và trang web độc lập. Tuy nhiên, hàng chục trang web khác thuộc về các lĩnh vực phát triển phần mềm, blog công nghệ, AI, tiền điện tử và nhiều loại hình thực thể khác.

Cảnh báo từ chuyên gia

Qianxin đã cảnh báo cho nhiều nạn nhân, nhưng cho biết đại đa số không phản hồi thông báo của họ.

"Hiện có ít nhất hai nhóm đang tích cực tiến hành các hoạt động đầu độc này, và một số trang web thậm chí đã trở thành mục tiêu cạnh tranh giữa hai bên, với các mã độc khác nhau được cài đặt lần lượt trong vòng một ngày," Qianxin nhận định.

Vụ việc nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời. Các quản trị viên web sử dụng Ghost được khuyến cáo khẩn tróng kiểm tra và cập nhật phiên bản mới nhất để bảo vệ trang web của mình trước các rủi ro an ninh mạng đang gia tăng.