Bilgisayar korsanları, Ghost içerik yönetim sisteminde bulunan kritik bir SQL enjeksiyon güvenlik açığını (CVE-2026-26980) istismar ederek 700’den fazla alana ClickFix saldırı akışları tetikleyen kötü amaçlı JavaScript kodu yerleştirdi. Bu CVE-2026-26980 güvenlik açığı sayesinde saldırganlar, Harvard Üniversitesi, Oxford Üniversitesi, Auburn Üniversitesi ve DuckDuckGo gibi önemli kurumların web sitelerini de hedef aldı. Ghost CMS’nin 3.24.0 ile 6.19.0 arasındaki sürümlerini etkileyen bu SQL enjeksiyon zafiyeti, kimliği doğrulanmamış saldırganların yönetici API anahtarları da dahil olmak üzere veritabanındaki hassas verileri okumasına imkân tanıyor.

Saldırganlar Yönetici API Anahtarlarını Çalıp Sahte Cloudflare Sayfaları Yayınlıyor

XLab araştırmacılarının gözlemlediği ClickFix saldırı kampanyası, CVE-2026-26980 istismar edilerek yönetici API anahtarlarının çalınmasıyla başlıyor. Bu yönetici API anahtarı çalma işlemi sayesinde saldırganlar, yükselttikleri ayrıcalıklarla makalelere kötü amaçlı JavaScript kodu enjekte ediyor. Bu kod, ziyaretçilerin parmak izini çıkaran ve hedef olup olmadıklarını belirleyen bir gizleme betiği olarak çalışıyor.

Doğrulamayı geçen ziyaretçilere makale sayfasının üzerinde bir iframe aracılığıyla sahte Cloudflare sayfası gösteriliyor. Kullanıcıları insan olduklarını doğrulamaya ikna eden bu tuzak, kurbanlara Windows komut istemine belirli bir komutu yapıştırmalarını söylüyor. Komut çalıştırıldığında sistemlere DLL yükleyicileri, JavaScript bırakıcıları ve UtilifySetup.exe adlı Electron tabanlı bir kötü amaçlı yazılım örneği gibi çeşitli zararlı yükler indiriliyor.

Binlerce Site Güncelleme Yapmadığı İçin Hala Risk Altında

Ghost CMS geliştiricileri bu güvenlik açığının düzeltmesini 19 Şubat’ta 6.19.1 sürümüyle yayınlamış olsa da, birçok site bu kritik güncellemeyi uygulamadı. SentinelOne, 27 Şubat’ta CVE-2026-26980’in saldırılarda kullanıldığını ve olayların nasıl tespit edileceğini detaylandıran bir rapor yayınladı. Araştırmacılar, savunmasız Ghost sitelerini hedef alan en az iki farklı faaliyet kümesi gözlemledi. Bazen aynı alanlar temizlendikten sonra farklı betiklerle yeniden enfekte edilirken, bazen bir saldırgan diğerinin betiğini temizleyerek kendi kötü amaçlı kodunu enjekte ediyor.

Ghost CMS yöneticileri için en önemli adım, sistemlerini 6.19.1 veya daha yeni bir sürüme yükseltmek ve önceden kullanılan tüm anahtarları değiştirmek. XLab, enfekte sitelerdeki kötü amaçlı betiklerin tespit edilip kaldırılabilmesi için bir göstergeler listesi yayınladı. Araştırmacılar ayrıca site sahiplerinin güvenilir bir geriye dönük soruşturma yapabilmesi için 30 günlük yönetici API çağrı günlüklerini saklamalarını öneriyor.