Une campagne de grande ampleur exploite une faille d’injection SQL critique dans le système de gestion de contenu Ghost CMS. Cette vulnérabilité, référencée CVE-2026-26980, permet à des attaquants d’injecter du code JavaScript malveillant qui déclenche des flux d’attaque de type ClickFix.
Les chercheurs en renseignement sur les menaces du XLab, qui appartient à l’entreprise chinoise de cybersécurité Qianxin, ont découvert cette campagne. Ils ont confirmé que plus de 700 domaines sont touchés, parmi lesquels figurent des portails universitaires, des entreprises d’intelligence artificielle et de logiciel en tant que service, des médias, des sociétés fintech, des sites de sécurité et des blogs personnels.
Selon ces chercheurs, les acteurs malveillants ont placé du code nuisible sur les sites web de l’Université Harvard, de l’Université d’Oxford, de l’Université Auburn et du moteur de recherche DuckDuckGo.
Sites web compromis
Source : XLab
La faille CVE-2026-26980 affecte les versions de Ghost 3.24.0 à 6.19.0. Elle donne la possibilité à des attaquants non authentifiés de lire des données arbitraires dans la base de données du site web, ce qui inclut les clés d’administration de l’API.
Cette clé offre un accès de gestion aux utilisateurs, aux articles et aux thèmes. Elle peut aussi être utilisée pour modifier les pages d’articles.
Un correctif a été publié le 19 février dans la version 6.19.1 de Ghost CMS, mais de nombreux sites n’ont pas installé cette mise à jour de sécurité.
Le 27 février, SentinelOne a publié des détails sur l’exploitation de CVE-2026-26980 dans des attaques et sur la manière de les détecter. Les chercheurs ont observé au moins deux groupes d’activité distincts qui ciblent les sites Ghost vulnérables. Parfois, ils réinfectent les mêmes domaines avec des scripts différents après un nettoyage, ou un groupe nettoie le script d’un autre pour injecter le sien.
Chronologie des attaques
Source : XLab
Chaîne d’attaque
Les attaques que le XLab a observées commencent par l’exploitation de CVE-2026-26980 pour voler les clés d’administration de l’API. Ensuite, les attaquants utilisent ces droits élevés pour injecter du code JavaScript malveillant dans les articles.
Le code JavaScript est un chargeur léger qui récupère un code de seconde étape depuis l’infrastructure des attaquants. Ce code est essentiellement un script de dissimulation qui dresse l’empreinte des visiteurs pour déterminer s’ils constituent des cibles valables.
Les visiteurs qui passent cette vérification reçoivent une fausse fenêtre de prompt Cloudflare. Elle est chargée via un iframe superposé à la page de l’article et contient le leurre ClickFix.
La page ClickFix
Source : XLab
La page demande aux victimes de vérifier qu’elles sont humaines en collant une commande fournie dans l’invite de commandes Windows. Cette action dépose une charge utile sur leurs systèmes.
Le XLab a observé l’utilisation de multiples charges utiles dans ces attaques. Parmi elles se trouvent des chargeurs de DLL, des déposeurs JavaScript et un échantillon de logiciel malveillant basé sur Electron nommé UtilifySetup.exe.
Phases de l’attaque
Source : XLab
Réduire le risque
La mesure la plus importante pour les administrateurs de sites web sous Ghost CMS est de mettre à niveau vers la version 6.19.1 ou une version ultérieure. Ils doivent aussi renouveler toutes les clés utilisées auparavant, car elles ont pu être exposées.
Le XLab a fourni une liste d’indicateurs de compromission, qui inclut les scripts injectés. Un examen approfondi des sites web est donc nécessaire pour les localiser et les supprimer.
Les chercheurs recommandent aux propriétaires de sites web de conserver un historique de 30 jours des journaux d’appels de l’API d’administration. Cette pratique permet une enquête rétrospective fiable.