สรุปสั้น

กลุ่มแฮ็กเกอร์ใช้ช่องโหว่ SQL Injection ระดับวิกฤต (CVE-2026-26980) ใน Ghost CMS เพื่อเจาะเว็บไซต์กว่า 700 แห่งทั่วโลก รวมถึงเว็บไซต์ของมหาวิทยาลัย Harvard, Oxford, Auburn และ DuckDuckGo ช่องโหว่นี้ไม่ต้องผ่านการยืนยันตัวตน (unauthenticated) โดยผู้โจมตีสามารถอ่านข้อมูลในฐานข้อมูลได้อย่างอิสระ รวมถึงขโมย Admin API Key หลังจากได้ Key แล้ว ผู้โจมตีฉีด JavaScript อันตรายเข้าบทความในเว็บไซต์เหล่านั้น ผู้เยี่ยมชมจะเห็นหน้า Cloudflare ปลอมพร้อมคำสั่งให้วางโค้ดใน Command Prompt ของ Windows ซึ่งเป็นเทคนิค ClickFix ช่องโหว่ได้รับการแก้ไขในเวอร์ชัน 6.19.1 เมื่อวันที่ 19 กุมภาพันธ์ 2569 แต่เว็บไซต์จำนวนมากยังไม่ได้อัปเดต

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 24 พฤษภาคม 2569 ว่า นักวิจัยของ XLab จากบริษัท Qianxin ประเทศจีน ตรวจพบแคมเปญโจมตีขนาดใหญ่ที่ใช้ช่องโหว่ CVE-2026-26980 ใน Ghost CMS ซึ่งเป็น CMS ยอดนิยมที่ใช้สำหรับบล็อกและสื่อออนไลน์ โดยยืนยันว่ามีโดเมนที่ได้รับผลกระทบมากกว่า 700 แห่ง ครอบคลุมหลายประเภท ได้แก่ เว็บพอร์ทัลของมหาวิทยาลัย, บริษัท AI/SaaS, สื่อมวลชน, บริษัท fintech, เว็บด้านความปลอดภัย และบล็อกส่วนตัว ช่องโหว่นี้ส่งผลกระทบต่อ Ghost เวอร์ชัน 3.24.0 จนถึง 6.19.0 ซึ่งเปิดให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนอ่านข้อมูลใดก็ได้จากฐานข้อมูลของเว็บไซต์ รวมถึง Admin API Key แม้ว่าจะมีการแก้ไขช่องโหว่ใน Ghost 6.19.1 ตั้งแต่วันที่ 19 กุมภาพันธ์ 2569 แต่เว็บไซต์จำนวนมากยังไม่ได้อัปเดต ทำให้ผู้โจมตีสามารถเจาะเข้าได้ต่อเนื่อง นักวิจัยยังพบกลุ่มผู้โจมตีอย่างน้อยสองกลุ่มที่ทำงานต่างกัน บางครั้งกลุ่มหนึ่งลบโค้ดของอีกกลุ่มออกแล้วใส่โค้ดของตัวเองแทน

รายละเอียดช่องโหว่และวิธีการโจมตี

CVE-2026-26980 คือ Blind SQL Injection ในระบบ Content API ของ Ghost CMS โดยผู้โจมตีสามารถส่ง request พิเศษไปยัง API โดยไม่ต้องล็อกอิน เพื่ออ่านข้อมูลจากฐานข้อมูลทีละบิต (blind injection) ข้อมูลที่สำคัญที่สุดที่ถูกขโมยคือ Admin API Key ซึ่งให้สิทธิ์จัดการผู้ใช้, บทความ และ theme ทั้งหมดของเว็บไซต์

ขั้นตอนการโจมตีของแคมเปญนี้:

  1. ขโมย Admin API Key ผ่านช่องโหว่ CVE-2026-26980
  2. ฉีด JavaScript loader เข้าท้ายบทความทุกชิ้นในเว็บไซต์ผ่าน Ghost Admin API
  3. Loader ดึง script ขั้นที่สอง จากโครงสร้างพื้นฐานของผู้โจมตี ซึ่งทำหน้าที่ fingerprint ผู้เยี่ยมชม
  4. ผู้เยี่ยมชมที่ผ่านการ verify จะเห็นหน้า Cloudflare ปลอมที่ถูกโหลดผ่าน iframe ทับบนบทความ
  5. หน้าปลอมสั่งให้วางคำสั่ง ใน Command Prompt ของ Windows เพื่อ “ยืนยันว่าเป็นมนุษย์” (ClickFix)
  6. เพย์โหลด ที่ถูกปล่อยมีหลายรูปแบบ ได้แก่ DLL loader, JavaScript dropper และมัลแวร์ที่ใช้ Electron ชื่อ UtilifySetup.exe

ผลกระทบต่อไทย

Ghost CMS เป็นที่นิยมใช้ในหมู่สื่อออนไลน์ บล็อกวิชาการ และ startup ในไทย เว็บไซต์ที่ใช้ Ghost เวอร์ชันเก่ากว่า 6.19.1 มีความเสี่ยงสูงที่จะถูกโจมตี ผู้ดูแลระบบของเว็บไซต์ Ghost ในไทยควรตรวจสอบเวอร์ชันและอัปเดตทันที เนื่องจากหากเว็บไซต์ถูกโจมตี ผู้เยี่ยมชมชาวไทยจะตกเป็นเป้าหมายของ ClickFix ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์บนเครื่องคอมพิวเตอร์ของตนโดยไม่รู้ตัว

คำแนะนำ

  • อัปเดต Ghost CMS เป็นเวอร์ชัน 6.19.1 หรือใหม่กว่าทันที
  • หมุนเวียน Admin API Key ทันทีหลังอัปเดต เนื่องจาก Key เดิมอาจถูกขโมยไปแล้ว
  • ตรวจสอบบทความทั้งหมด หา JavaScript อันตรายที่อาจถูกฉีดเข้ามา โดยค้นหา script tag ที่ไม่คุ้นเคยท้ายบทความ
  • เก็บ log ของ Admin API ย้อนหลัง 30 วัน เพื่อตรวจสอบการเข้าถึงที่ผิดปกติ
  • ตรวจสอบ IoC จาก XLab และ SentinelOne เพื่อค้นหาร่องรอยการบุกรุก

แหล่งอ้างอิง