🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha em grande escala está explorando uma vulnerabilidade crítica de injeção de SQL (CVE-2026-26980) no Ghost CMS para injetar código JavaScript malicioso que aciona fluxos de ataque ClickFix.
A campanha foi descoberta por pesquisadores de inteligência de ameaças XLab da empresa chinesa de segurança cibernética Qianxin, que confirmaram o impacto em mais de 700 domínios, incluindo portais universitários, empresas de IA/SaaS, meios de comunicação, empresas de fintech, sites de segurança e blogs pessoais.
De acordo com os pesquisadores, os agentes de ameaças plantaram códigos maliciosos nos sites da Universidade de Harvard, da Universidade de Oxford, da Universidade de Auburn e do DuckDuckGo.
Sites comprometidosFonte: XLab
CVE-2026-26980 afeta o Ghost 3.24.0 até 6.19.0 e permite que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo as chaves de API do administrador.
Esta chave dá acesso de gerenciamento a usuários, artigos e temas e pode ser usada para modificar páginas de artigos.
Embora a correção para o problema tenha sido lançada em 19 de fevereiro no Ghost CMS versão 6.19.1, muitos sites não conseguiram instalar a atualização de segurança.
O SentinelOne publicou em 27 de fevereiro detalhes sobre a exploração do CVE-2026-26980 em ataques e como os incidentes podem ser detectados. Os pesquisadores observaram pelo menos dois grupos de atividades distintos direcionados a sites vulneráveis do Ghost, às vezes reinfectando os mesmos domínios com scripts diferentes após a limpeza, ou um limpando o script do outro para injetar o seu próprio.
Cronologia dos ataquesFonte: XLab
Cadeia de ataque
Os ataques observados pelo XLab começam explorando o CVE-2026-26980 para roubar as chaves da API do administrador e, em seguida, usam os direitos elevados para injetar JavaScript malicioso nos artigos.
O código JavaScript é um carregador leve que busca o código de segundo estágio da infraestrutura do invasor, que é essencialmente um script de camuflagem que identifica as impressões digitais dos visitantes para determinar se eles se qualificam como alvos.
Os visitantes que passam na verificação recebem um prompt falso do Cloudflare carregado por meio de um iframe na parte superior da página do artigo, que contém a isca ClickFix.
A página ClickFixFonte: XLab
A página instrui as vítimas a verificar se são humanas, colando um comando fornecido no prompt de comando do Windows, o que descarta uma carga útil em seus sistemas.
XLab observou várias cargas sendo usadas nesses ataques, incluindo carregadores de DLL, droppers de JavaScript e uma amostra de malware baseada em Electron chamada UtilifySetup.exe.
Fases de ataqueFonte: XLab
Mitigando o risco
A ação mais importante para administradores de sites do Ghost CMS é atualizar para a versão 6.19.1 ou posterior e alternar todas as chaves usadas anteriormente, pois elas podem ter sido expostas.
O XLab forneceu uma lista de indicadores de comprometimento (IoCs), incluindo scripts injetados, portanto, é necessária uma revisão completa dos sites para localizá-los e removê-los.
Os pesquisadores recomendam que os proprietários de sites mantenham um registro de 30 dias dos registros de chamadas da API do administrador para permitir uma investigação retrospectiva confiável.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
A campanha foi descoberta por pesquisadores de inteligência de ameaças XLab da empresa chinesa de segurança cibernética Qianxin, que confirmaram o impacto em mais de 700 domínios, incluindo portais universitários, empresas de IA/SaaS, meios de comunicação, empresas de fintech, sites de segurança e blogs pessoais.
De acordo com os pesquisadores, os agentes de ameaças plantaram códigos maliciosos nos sites da Universidade de Harvard, da Universidade de Oxford, da Universidade de Auburn e do DuckDuckGo.
Sites comprometidosFonte: XLab
CVE-2026-26980 afeta o Ghost 3.24.0 até 6.19.0 e permite que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo as chaves de API do administrador.
Esta chave dá acesso de gerenciamento a usuários, artigos e temas e pode ser usada para modificar páginas de artigos.
Embora a correção para o problema tenha sido lançada em 19 de fevereiro no Ghost CMS versão 6.19.1, muitos sites não conseguiram instalar a atualização de segurança.
O SentinelOne publicou em 27 de fevereiro detalhes sobre a exploração do CVE-2026-26980 em ataques e como os incidentes podem ser detectados. Os pesquisadores observaram pelo menos dois grupos de atividades distintos direcionados a sites vulneráveis do Ghost, às vezes reinfectando os mesmos domínios com scripts diferentes após a limpeza, ou um limpando o script do outro para injetar o seu próprio.
Cronologia dos ataquesFonte: XLab
Cadeia de ataque
Os ataques observados pelo XLab começam explorando o CVE-2026-26980 para roubar as chaves da API do administrador e, em seguida, usam os direitos elevados para injetar JavaScript malicioso nos artigos.
O código JavaScript é um carregador leve que busca o código de segundo estágio da infraestrutura do invasor, que é essencialmente um script de camuflagem que identifica as impressões digitais dos visitantes para determinar se eles se qualificam como alvos.
Os visitantes que passam na verificação recebem um prompt falso do Cloudflare carregado por meio de um iframe na parte superior da página do artigo, que contém a isca ClickFix.
A página ClickFixFonte: XLab
A página instrui as vítimas a verificar se são humanas, colando um comando fornecido no prompt de comando do Windows, o que descarta uma carga útil em seus sistemas.
XLab observou várias cargas sendo usadas nesses ataques, incluindo carregadores de DLL, droppers de JavaScript e uma amostra de malware baseada em Electron chamada UtilifySetup.exe.
Fases de ataqueFonte: XLab
Mitigando o risco
A ação mais importante para administradores de sites do Ghost CMS é atualizar para a versão 6.19.1 ou posterior e alternar todas as chaves usadas anteriormente, pois elas podem ter sido expostas.
O XLab forneceu uma lista de indicadores de comprometimento (IoCs), incluindo scripts injetados, portanto, é necessária uma revisão completa dos sites para localizá-los e removê-los.
Os pesquisadores recomendam que os proprietários de sites mantenham um registro de 30 dias dos registros de chamadas da API do administrador para permitir uma investigação retrospectiva confiável.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #falha #de #injeção #ghost #cms #sql #explorada #em #campanha #clickfix #em #grande #escala
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário