ثغرة خطيرة في Ghost CMS تُستغل لاختراق أكثر من 700 موقع عبر هجمات ClickFix

ثغرة خطيرة في Ghost CMS تُستغل لاختراق أكثر من 700 موقع عبر هجمات ClickFix
ثغرة خطيرة في Ghost CMS تُستغل لاختراق أكثر من 700 موقع عبر هجمات ClickFix
شارك هذا الخبر

أعلنت تقارير أمنية حديثة عن حملة واسعة النطاق تستغل ثغرة أمنية حرجة في نظام إدارة المحتوى Ghost CMS، أدت إلى اختراق أكثر من 700 موقع في قطاعات متعددة، من الجامعات والتقنيات المالية إلى الإعلام والذكاء الاصطناعي. الثغرة، التي تحمل الرمز CVE-2026-26980، تمثل نقطة ضعف من نوع حقن SQL في واجهة المحتوى (Content API)، وتسمح للمهاجمين غير المصرح لهم بقراءة بيانات حساسة من قاعدة البيانات، بما في ذلك مفاتيح واجهة الإدارة.

تفاصيل الثغرة والاستغلال

الثغرة التي اكتشفها فريق Anthropic باستخدام نموذج Claude، حصلت على تقييم خطورة مرتفع (CVSS 9.4)، وتم إصلاحها في فبراير 2026 عبر الإصدار 6.19.1 من Ghost. خطورتها تكمن في أنها تتيح للمهاجمين الحصول على مفتاح واجهة الإدارة دون إذن، ما يمنحهم القدرة على تعديل المقالات المنشورة وإدخال شيفرات خبيثة. وفقاً لتقارير QiAnXin XLab، استغل المهاجمون هذه الثغرة لحقن محمّلات JavaScript خبيثة في أسفل الصفحات، بهدف تنفيذ هجمات CAPTCHA مزيفة تقود إلى هجمات ClickFix.

طبيعة الحملة وأهدافها

وُصفت الحملة بأنها “تسميم واسع النطاق” لمواقع تعتمد على Ghost CMS، حيث تمكّن المهاجمون من زرع الشيفرات الخبيثة في غضون يوم واحد على بعض المواقع. الحملة استهدفت قطاعات حساسة مثل البلوك تشين، الذكاء الاصطناعي، البرمجيات كخدمة (SaaS)، الأمن السيبراني، والإعلام. خطورة هذه الهجمات تكمن في أن المواقع المخترقة شرعية وموثوقة، ما يزيد من احتمالية نجاح الاحتيال على المستخدمين.

آلية الهجوم عبر ClickFix

الشيفرة المحقونة تعمل كمحمّل ثنائي المراحل، يستدعي الحمولة الرئيسية من نطاق خارجي (“clo4shara[.]xyz/11z77u3.php”). هذا الملف عبارة عن نص توزيع حركة مرور مدعوم بخدمة Adspect التجارية، ويقوم بجمع بصمات المتصفح ثم يحدد ما إذا كان الزائر ضحية حقيقية أو مجرد ماسح أمني. الضحايا المستهدفون يُعرض عليهم إطار HTML يحاكي صفحة تحقق CAPTCHA، ويُطلب منهم نسخ ولصق أمر مشفّر بـ Base64 في نافذة التشغيل الخاصة بنظام ويندوز. هذا الأمر يعمل كـ “Dropper” ينزّل أرشيف ZIP يحتوي على سكربت Batch، الذي بدوره ينفّذ أوامر PowerShell لتحميل ملف DLL أو حمولة JavaScript من نطاقات خبيثة.

في بعض الحالات، كان الملف التنفيذي عبارة عن نسخة معدلة من عميل PuTTY موقّع بشهادة رقمية صحيحة، أو تطبيق Electron مُثبت عبر Inno Setup. الهدف النهائي هو زرع تطبيق خبيث يحقق الاستمرارية ويتصل بخادم بعيد (“web-telegram[.]ug”) كل 30 ثانية لتنفيذ تعليمات المهاجم.

إجراءات الحماية الموصى بها

ينصح خبراء الأمن جميع مستخدمي Ghost CMS بالخطوات التالية:

  • تحديث النسخة إلى الإصدار الأخير فوراً.
  • تدوير المفاتيح وكلمات المرور لضمان عدم استغلالها.
  • تنظيف المقالات من أي شيفرات خبيثة مزروعة.
  • مراجعة سجلات الوصول لرصد أي نشاط مشبوه.
  • إخطار المستخدمين الذين زاروا المواقع خلال فترة الاختراق لاحتمال تعرضهم للخطر.
وسوم
محمد وهبى
محمد وهبى
المقالات: 1168

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة