Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità SQL injection in Ghost CMS, identificata come CVE-2026-26980, è stata sfruttata per ottenere accesso non autorizzato ai dati del database. Gli aggressori hanno utilizzato questa falla per infettare oltre 700 siti con loader JavaScript dannosi e attacchi di tipo ClickFix, tra cui portali universitari e servizi fintech. La vulnerabilità consente agli hacker di leggere la chiave API dell'amministratore e modificare i materiali pubblicati introducendovi codice dannoso.
Gli aggressori stanno sfruttando una vulnerabilità critica in Ghost CMS per infettare i siti con loader JavaScript dannosi e conseguenti attacchi di tipo ClickFix. I ricercatori di QiAnXin XLab avvertono che la compromissione ha già colpito più di 700 siti, tra cui portali universitari, media, società SaaS, servizi fintech e risorse per la sicurezza delle informazioni.
Il problema è legato alla vulnerabilità CVE-2026-26980 – una vulnerabilità SQL injection in Ghost CMS, che ha ricevuto un punteggio CVSS di 9,4. Questo bug interessa le versioni del motore dalla 3.24.0 alla 6.19.0 e consente a un utente malintenzionato non autenticato di leggere i dati dal database, inclusa la chiave API dell’amministratore.
Utilizzando questa chiave, gli hacker malintenzionati possono ottenere pieno accesso all’API amministrativa del CMS e modificare in modo massiccio i materiali pubblicati introducendovi codice dannoso.
Tra le vittime figurano in particolare i siti dell’Università di Harvard, dell’Università di Oxford, dell’Università di Auburn e del motore di ricerca DuckDuckGo.
Una patch per CVE-2026-26980 è stata rilasciata il 19 febbraio 2026 con il rilascio di Ghost 6.19.1. Inoltre, i ricercatori di SentinelOne hanno messo in guardia sullo sfruttamento del bug in attacchi reali già il 27 febbraio. Tuttavia, molti proprietari di siti non hanno mai installato gli aggiornamenti.
Secondo gli specialisti di XLab, l’attività dannosa è iniziata almeno il 7 maggio 2026 e dietro questa campagna ci sono almeno due diversi gruppi di malintenzionati.
I ricercatori hanno osservato casi in cui alcuni aggressori hanno reinfettato siti già ripuliti o addirittura cancellato script di altre persone, sostituendoli con i propri.
Gli attacchi si presentano così: in primo luogo, gli hacker sfruttano CVE-2026-26980 e ottengono la chiave API dell’amministratore. Gli aggressori inseriscono quindi un loader JavaScript negli articoli tramite l’API amministrativa. Questo script scarica il malware della seconda fase dell’attacco dal dominio clo4shara[.]xyz.
Entra in gioco il successivo cloaking. Lo script raccoglie i dati del browser, controlla i visitatori e decide se mostrare loro un payload dannoso. Per filtrare il traffico viene utilizzato il servizio commerciale Adspect. Grazie a ciò, i robot di ricerca e gli scanner di sicurezza informatica vedono una pagina innocua e alle vittime reali viene mostrato un CAPTCHA falso.
Una falsa finestra di Cloudflare con un classico script ClickFix viene visualizzata tramite iframe sopra l’articolo infetto. All’utente viene richiesto di “verificare che sia un essere umano” copiando ed eseguendo il comando in Windows Run o cmd.exe.
Questo comando scarica un archivio ZIP contenente uno script batch e un payload aggiuntivo. Successivamente, viene lanciato un comando PowerShell che scarica il file DLL e lo esegue tramite rundll32.exe. Alcune varianti di attacco utilizzano un payload JavaScript anziché una DLL.
I ricercatori scrivono inoltre che in alcuni casi è stato utilizzato il malware Electron UtilifySetup.exe, una versione modificata del client open source Grape. Il malware si è ancorato al sistema e ha contattato il server di controllo web-telegram[.]ug ogni 30 secondi per ricevere nuovi comandi.
Si consiglia agli amministratori di Ghost CMS di eseguire l’aggiornamento alla versione 6.19.1 o successiva il prima possibile, di emettere nuovamente tutte le chiavi API e di verificare la presenza di script inseriti nei propri siti. Inoltre, gli esperti consigliano di archiviare i registri delle chiamate API amministrative per almeno 30 giorni, poiché ciò può aiutare a indagare sull’incidente.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]