Lỗ hổng Ghost CMS: Cuộc tấn công diện rộng với bẫy CAPTCHA giả mạo

Một chiến dịch tấn công quy mô lớn vừa bị phanh phui, nhắm vào các website sử dụng hệ thống quản trị nội dung Ghost (Ghost CMS). Dù bản vá lỗi đã được phát hành từ vài tháng trước, nhưng việc cập nhật chậm trễ đã khiến hàng trăm trang web, bao gồm cả các tổ chức danh tiếng, trở thành công cụ phát tán mã độc.

Lỗ hổng chí mạng từ lỗi SQL Injection

Trọng tâm của làn sóng tấn công này là lỗ hổng mang mã CVE-2026-26980 với điểm CVSS gần như tuyệt đối (9.4/10.0). Đây là một lỗi thuộc loại SQL Injection - kẻ tấn công có thể gửi các câu lệnh độc hại vào hệ thống để ép cơ sở dữ liệu tiết lộ thông tin nhạy cảm.

Đáng chú ý, lỗ hổng này được phát hiện lần đầu bởi trí tuệ nhân tạo Claude của Anthropic vào tháng 2/2026. Nếu không cập nhật lên phiên bản 6.19.1 trở đi, tin tặc có thể dễ dàng lấy được mã khóa quản trị (Admin API Key) mà không cần đăng nhập. Khi đã có mã khóa này, chúng sẽ nắm toàn quyền thay đổi nội dung, chèn mã lạ vào hàng loạt bài viết trên website của bạn.

ClickFix và bẫy CAPTCHA giả mạo

Sau khi chiếm quyền điều khiển website, tin tặc không phá hoại ngay mà âm thầm chèn các đoạn mã JavaScript xuống cuối mỗi bài viết. Mục tiêu của chúng là thực hiện kiểu tấn công ClickFix.

Khi người dùng truy cập vào một trang web bị nhiễm, họ sẽ thấy một thông báo yêu cầu xác thực CAPTCHA - một cái bẫy tinh vi do tin tặc tạo nên. Trang web sẽ hướng dẫn người dùng sao chép một đoạn mã (đã được mã hóa) và dán vào hộp thoại Run trên máy tính Windows. Nếu làm theo, người dùng sẽ vô tình tự cài đặt một loại phần mềm gián điệp, cho phép tin tặc điều khiển máy tính từ xa và đánh cắp dữ liệu cá nhân.

Sự tinh vi trong việc che giấu dấu vết

Để tránh bị phát hiện, các nhóm tội phạm mạng đã sử dụng dịch vụ ẩn danh có tên là Adspect nhằm phân loại người truy cập. Nếu là các công cụ quét bảo mật hoặc robot tìm kiếm (như Googlebot), chúng sẽ chỉ nhìn thấy một trang web bình thường. Và chỉ những người dùng thật sự mới bị điều hướng đến các trang chứa mã độc và bẫy lừa đảo. Sự tinh vi này tạo cơ hội để chiến dịch tấn công tồn tại lâu hơn mà không bị các phần mềm diệt virus phát hiện sớm.

Chiến dịch “đầu độc” diện rộng

Theo báo cáo từ công ty bảo mật QiAnXin, đã có hơn 700 website bị ảnh hưởng do đợt tấn công này. Danh sách nạn nhân trải dài từ các blog cá nhân đến các đơn vị lớn như Đại học Harvard, Oxford hay công cụ tìm kiếm DuckDuckGo. Ngoài ra, các lĩnh vực như Blockchain, AI và Fintech cũng là mục tiêu hàng đầu do lượng người dùng truy cập lớn và có giá trị cao.

Thậm chí, các chuyên gia còn phát hiện ra ít nhất hai nhóm hacker khác nhau đang "tranh giành" quyền kiểm soát trên cùng một trang web nạn nhân và thay phiên nhau chèn mã độc của riêng mình trong cùng một ngày.

Sự cố này là lời nhắc nhở khẩn cấp về việc duy trì an ninh cho hệ thống quản trị nội dung. Trong kỷ nguyên AI và các cuộc tấn công tinh vi, việc chậm trễ cập nhật bản vá dù chỉ vài tháng cũng có thể gây ra những hậu quả khôn lường cho cả chủ sở hữu website và người dùng.

Nguồn tham khảo:

• Ghost CMS Vulnerability Exploited to Hack Over 700 Websites - SecurityWeek

• Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks - The Hacker News