Lỗ hổng CVE trong Ghost CMS đã bị khai thác để âm thầm chèn ClickFix malware lên hơn 700 website, khiến người truy cập đối mặt với nguy cơ bảo mật cao. Lỗ hổng này được theo dõi là CVE-2026-26980 và là một lỗi SQL injection nghiêm trọng cho phép kẻ tấn công đọc trực tiếp dữ liệu từ cơ sở dữ liệu, bao gồm Admin API Key.
CVE-2026-26980 Và Tác Động Lên Ghost CMS
CVE-2026-26980 được công bố công khai từ ngày 19/02/2026, nhưng nhiều quản trị viên Ghost CMS đã không kịp áp dụng bản vá. Theo mô tả kỹ thuật, đây là một lỗ hổng CVE trong lớp truy vấn của Ghost CMS, cho phép khai thác khi không cần xác thực.
Khi đọc được Admin API Key, kẻ tấn công có thể gọi Ghost Admin API để sửa nội dung bài viết hàng loạt mà không cần đăng nhập vào bảng điều khiển quản trị. Điều này biến một lỗi SQL injection thành một chuỗi remote code execution gián tiếp ở phía người dùng cuối, thông qua nội dung bị chèn mã độc.
Báo cáo tham chiếu công khai có thể xem tại NVD và bài phân tích của XLab tại blog.xlab.qianxin.com.
Chuỗi Tấn Công Và Cách Trang Bị Poisoned
Hoạt động khai thác được ghi nhận là một chiến dịch tự động quy mô lớn, nhắm vào các bản Ghost CMS chưa vá. Kẻ tấn công quét các cài đặt dễ bị tổn thương, đánh cắp Admin API Key, rồi sửa hàng loạt nội dung bài viết để nhúng JavaScript độc hại.
Các bài viết bị sửa vẫn trông bình thường. Mã độc được đặt ở phần cuối trang và chỉ kích hoạt khi người đọc cuộn tới nội dung đó. Đây là yếu tố khiến hệ thống bị xâm nhập khó bị phát hiện ngay bằng mắt thường.
Giai Đoạn Tấn Công
- Giai đoạn 1: Đặt loader JavaScript ở cuối bài viết.
- Giai đoạn 2: Chuyển hướng người dùng thật qua cloaking script, loại trừ bot và nhà nghiên cứu.
- Giai đoạn 3: Hiển thị trang xác minh giả mạo giống Cloudflare CAPTCHA.
- Giai đoạn 4: Phát tán payload đánh cắp dữ liệu trên máy nạn nhân.
Chiến dịch được mô tả là có chuỗi tấn công gồm CMS takeover, page poisoning, nạp payload hai tầng, kỹ thuật social engineering và phát tán malware cuối cùng.
Ảnh Hưởng Thực Tế Trên Website Bị Xâm Nhập
Đến ngày 10/05/2026, có 156 domain bị xác nhận nhiễm độc nội dung. Một tuần sau, con số này tăng lên hơn 700 website. Các site bị ảnh hưởng trải rộng trên nhiều lĩnh vực, trong đó có blockchain, AI, truyền thông, fintech và nghiên cứu bảo mật.
Các website bị tác động không hiển thị cảnh báo rõ ràng cho người dùng. Điều này làm tăng hiệu quả của chiến dịch vì người truy cập tin tưởng tên miền hợp lệ, trong khi nội dung thực tế đã bị thay thế âm thầm.
Rủi ro an toàn thông tin ở đây không chỉ nằm ở phía máy chủ CMS mà còn ở phía người dùng cuối. Khi truy cập site bị chèn mã độc, nạn nhân có thể bị dẫn tới trang giả, bị lừa sao chép lệnh độc hại và tự thực thi trên máy của mình.
Kỹ Thuật ClickFix Và Lừa Dùng Hành Vi Người Dùng
Điểm đáng chú ý của chiến dịch là trang xác minh giả mạo được thiết kế giống giao diện CAPTCHA của Cloudflare. Người dùng được yêu cầu nhấn WIN+R, dán một lệnh vào hộp thoại Run và nhấn Enter.
Khi thực hiện, nạn nhân vô tình chạy lệnh độc hại do trang web cung cấp. Đây là dạng mối đe dọa mạng kết hợp giữa kỹ thuật lừa đảo giao diện và tải payload nhiều giai đoạn.
Ở góc nhìn phòng thủ, kỹ thuật này khó phát hiện bằng kiểm tra nội dung bề mặt vì mã độc có thể chỉ xuất hiện sau khi thực hiện điều kiện hiển thị nhất định hoặc sau khi lọc qua cloaking script.
Payload Và Hành Vi Sau Khai Thác
Ở các mẫu ban đầu, payload tải xuống một DLL có tên installer.dll từ CDN công khai và khởi chạy bằng rundll32. Sau đó, payload được nâng cấp thành UtilifySetup.exe, một trojan đánh cắp dữ liệu có mức phát hiện ban đầu bằng 0.
Payload mới sử dụng framework dựa trên Electron để thiết lập persistence và liên lạc với máy chủ điều khiển mỗi 30 giây. Chu kỳ beacon ngắn như vậy là dấu hiệu đáng chú ý cho hệ thống giám sát mạng và phát hiện xâm nhập.
Một chiến dịch song song khác được phát hiện thông qua loader phân phối qua NotepadPlusPlus.zip. Dù khác gói tải xuống, mô hình tấn công vẫn xoay quanh việc lợi dụng nội dung web bị kiểm soát để chuyển nạn nhân tới bước thực thi cuối cùng.
Dấu Hiệu IOC Cần Lưu Ý
Phần dữ liệu gốc không cung cấp đầy đủ danh sách IOC dạng IP hay domain cụ thể, nhưng có các chỉ báo hành vi và chuỗi tên cần theo dõi trong threat intelligence.
- Chuỗi nội dung bị chèn:
ghost_once_footer_ - Hàm/đoạn mã độc hại:
atob( - Kỹ thuật chèn DOM:
appendChild - Tên DLL ban đầu:
installer.dll - Tên trojan về sau:
UtilifySetup.exe - Gói tải xuống liên quan:
NotepadPlusPlus.zip - Cơ chế khởi chạy:
rundll32
Trong môi trường kiểm tra, IOC cần được đối chiếu lại trong SIEM, MISP hoặc VirusTotal trước khi triển khai phản ứng. Dữ liệu về IP và domain trong nguồn gốc đã được làm mờ nên không nên suy diễn thêm ngoài các chỉ báo trên.
Khuyến Nghị Giảm Thiểu Và Ứng Phó
Biện pháp ưu tiên là cập nhật bản vá cho Ghost CMS để xử lý CVE-2026-26980. Sau khi vá, cần xoay vòng toàn bộ thông tin xác thực liên quan, đặc biệt là Admin API Key và mật khẩu quản trị viên.
Các quản trị viên nên kiểm tra log truy cập để tìm dấu hiệu bulk PUT requests bất thường. Đây là một chỉ báo quan trọng vì kẻ tấn công dùng API để sửa nội dung hàng loạt thay vì tương tác thủ công.
Đồng thời, cần rà soát nội dung bài viết để tìm các chuỗi đặc trưng như ghost_once_footer_, atob( và appendChild. Nếu phát hiện, nội dung phải được khôi phục từ bản sạch và kiểm tra toàn bộ template, footer, cũng như plugin tích hợp.
Người dùng đã truy cập các website bị ảnh hưởng trong khoảng thời gian nhiễm độc nên thực hiện quét bảo mật đầy đủ trên thiết bị của mình. Việc này đặc biệt cần thiết nếu họ đã tương tác với trang xác minh giả mạo hoặc thực thi lệnh được hướng dẫn trên trang.
Mẫu Kiểm Tra Nhanh Trên Hệ Thống Quản Trị
grep -R "ghost_once_footer_\|atob(\|appendChild" /var/www/ghost/content/
grep -R "bulk PUT\|Admin API Key" /var/log/
Với các hệ thống giám sát lưu lượng, nên tạo cảnh báo cho các kết nối lặp lại theo chu kỳ ngắn đến miền điều khiển, đặc biệt nếu lưu lượng xuất hiện từ tiến trình Electron hoặc tiến trình con của rundll32.
Trong bối cảnh lỗ hổng CVE đã bị khai thác diện rộng, việc ưu tiên là đóng lỗ hổng, thu hồi khóa API, xác minh tính toàn vẹn nội dung và kiểm tra toàn bộ chuỗi tải payload trên cả máy chủ lẫn máy trạm người dùng.
