Uma campanha de ciberataques em grande escala está a explorar ativamente uma falha crítica na plataforma Ghost CMS para infetar os visitantes com malware. Segundo os detalhes publicados na National Vulnerability Database, a vulnerabilidade expõe centenas de domínios a nível global, incluindo portais de universidades de renome, empresas de tecnologia, meios de comunicação e blogues pessoais.
Os investigadores da empresa de segurança Qianxin, através da equipa XLab, confirmaram o impacto da falha, identificada como CVE-2026-26980, em mais de 700 sites. Entre as vítimas encontram-se as páginas da Universidade de Harvard, Universidade de Oxford, Universidade de Auburn e o motor de pesquisa DuckDuckGo. A falha afeta as versões do Ghost compreendidas entre a 3.24.0 e a 6.19.0, permitindo a extração de dados da base de dados e o roubo das chaves de administrador da API.
Como funciona a cadeia de ataque
Na posse das chaves de administrador, os atacantes ganham controlo sobre os utilizadores, temas e artigos, procedendo à injeção de código JavaScript malicioso diretamente nas páginas publicadas. Este código atua como um carregador que analisa o visitante e determina se este é um alvo viável para o ataque.
Se o utilizador passar nesta verificação oculta, é confrontado com uma janela falsa de segurança da Cloudflare, sobreposta ao artigo, que utiliza a técnica de ClickFix. A mensagem instrui a vítima a provar que é humana através da cópia e colagem de um comando na linha de comandos do Windows. A execução deste comando instala cargas maliciosas no sistema, que vão desde descarregadores de ficheiros DLL a malware disfarçado de aplicações legítimas, como o ficheiro UtilifySetup.exe.
Medidas de proteção e correção
A correção para este problema foi disponibilizada a 19 de fevereiro na versão 6.19.1 do Ghost CMS, contudo, vários administradores falharam na aplicação desta atualização de segurança. A SentinelOne publicou um relatório a 27 de fevereiro onde detalha que existem vários grupos distintos a explorar ativamente os sites vulneráveis, entrando frequentemente em conflito para infetar os mesmos domínios e substituindo os scripts maliciosos dos rivais.
A medida mais urgente para os administradores afetados passa pela atualização imediata do sistema e pela rotação de todas as chaves de acesso anteriormente utilizadas, uma vez que estas podem estar comprometidas. Os investigadores recomendam ainda uma limpeza profunda das páginas para remover os scripts introduzidos e a manutenção de um registo de acessos por um período mínimo de 30 dias para facilitar futuras investigações.
Nenhum comentário
Seja o primeiro!