Saldırganlar ClickFix saldırıları için 700 Ghost CMS sitesini ele geçirdi

Ghost CMS'deki kritik bir güvenlik açığı (CVE-2026-26980) istismar edilerek düzenlenen büyük ölçekli bir saldırı sonucunda 700'den fazla web sitesi enfekte oldu ve sahte güvenlik doğrulamasına yönlendiren 'ClickFix' saldırılarına maruz kaldı.

Tam çeviri

Saldırganlar, kısa süre önce açıklanan Ghost CMS'deki kritik bir güvenlik açığını istismar ederek sahte güvenlik doğrulamasına yönlendiren ClickFix saldırıları yürütmek amacıyla kötü amaçlı JavaScript kodu enjekte ediyor.

QiAnXin XLab'e göre bu saldırı, Ghost'un Content API'sinde bulunan bir SQL injection açığı olan CVE-2026-26980'dan (CVSS puanı: 9.4) yararlanıyor. Bu açık, kimliği doğrulanmamış saldırganların veritabanından rastgele veri okumasına olanak tanıyor. Söz konusu güvenlik açığı, 2026 Şubat ayında yayımlanan 6.19.1 sürümünde yamalandı ve açığın kendisi Anthropic tarafından kendi yapay zekası Claude kullanılarak tespit edildi.

Bu açığı özellikle tehlikeli kılan nokta, saldırganların herhangi bir yetki olmadan web sitesinin Admin API anahtarını ele geçirebilmesidir. Admin API anahtarını alan saldırganlar, Ghost CMS'de yayımlanan makaleleri doğrudan değiştirme yetkisine sahip olur ve bu sayede siteye izinsiz kötü amaçlı kod enjekte ederek "content poisoning" olarak adlandırılan eylemi gerçekleştirebilir.

XLab, "Saldırganlar bu güvenlik açığını kaldıraç olarak kullanıp hedef sitelerin Admin API anahtarlarını izinsiz şekilde ele geçirdikten sonra, Ghost Admin API'yi kullanarak çok sayıda makaleyi değiştirdi" dedi ve "Sayfanın alt kısmına, sahte CAPTCHA doğrulama saldırısını desteklemek üzere kötü amaçlı bir JavaScript loader enjekte ettiler" diye ekledi.

Çin merkezli güvenlik şirketi XLab, bu faaliyeti Ghost CMS açığını silah haline getiren bir "büyük ölçekli kirletme" kampanyası olarak tanımladı. Kampanyanın arkasında en az iki farklı tehdit grubunun bulunduğu tahmin ediliyor ve bazı sitelere, açık ortaya çıktıktan yalnızca bir gün sonra kötü amaçlı kod yerleştirildi. Saldırı ilk kez 7 Mayıs 2026'da tespit edildi.

Şu ana kadar bu kampanya; üniversite, blockchain, yapay zeka, hizmet olarak yazılım (SaaS), güvenlik araştırması, medya ve fintech alanlarını kapsayan 700'den fazla web sitesini etkiledi {b:100}. XLab, meşru ve güvenilir web sitelerinin ele geçirilmiş olmasının kullanıcıların aldatılma ihtimalini artırdığını ve bunun da ClickFix saldırılarının başarı oranını yükseltebileceğini belirtti.

Makalenin altına enjekte edilen JavaScript kodu, iki aşamalı bir loader olarak çalışıyor ve kullanıcı sayfayı açtığında devreye girerek ana payload'ı harici bir alan adından ("clo4shara[.]xyz/11z77u3.php") getiriyor. Bu yapı saldırganlara yüksek esneklik sağlıyor. Çünkü çok sayıda enfekte sitede loader işlevi aynı kalırken, kendi belirledikleri ölçütlere göre istedikleri zaman yalnızca ana payload'ı kolayca değiştirebiliyorlar.

XLab, "Söz konusu adrese (clo4shara[.]xyz/11z77u3.php) doğrudan erişildiğinde tipik bir trafik dağıtım script'inden oluşan kod görülebilir" dedi ve "Bu script'in temel işlevi, kullanıcının tarayıcısından çeşitli fingerprint bilgilerini toplayıp sunucuya göndermek, ardından sunucudan gelen komutlara göre yönlendirme, popup gösterme ve indirme gibi kötü amaçlı işlemleri yürütmektir" açıklamasını yaptı. Bu PHP script'i, ticari bir cloaking (erişim kontrolü ve gizleme) hizmeti olan Adspect temelinde çalışıyor.

Bu tür cloaking script'leri kullanılmasının nedeni, güvenlik tespit sistemlerine veya crawler'lara yalnızca normal web sayfaları gösterip, kötü amaçlı payload'ı sadece gerçek hedef olan sıradan kullanıcılara ulaştırmaktır. Ayrıca bu script, rastgele JavaScript kodu çalıştırmayı ve kurbanın tarayıcısını uzaktan kontrol etmeyi mümkün kılan 19 farklı komutu destekliyor.

Hedef olarak belirlenen ziyaretçilere, "robot olmadıklarını" kanıtlamaları için sahte bir CAPTCHA doğrulama sayfası iframe HTML öğesi üzerinden gösteriliyor. ClickFix saldırısı burada asıl olarak başlıyor; ekrandaki talimatlara göre kullanıcıdan Base64 ile kodlanmış komutu kopyalayıp Windows Run penceresine yapıştırması isteniyor.

Kullanıcı bu komutu çalıştırdığında, ZIP dosyası indiren bir dropper devreye giriyor ve arşivi açarak içindeki Windows batch script'ini çalıştırıyor. Bu batch script daha sonra PowerShell komutu yürüterek uzak bir alan adından DLL dosyası indiriyor ve bunu rundll32.exe aracılığıyla çalıştırıyor. Aynı anda kullanıcının şüphelenmesini önlemek için dikkat dağıtıcı sahte bir web sayfası da açılıyor.

Daha sonra tespit edilen kötü amaçlı yazılım varyantlarında DLL dosyası yerine JavaScript payload'ı da kullanıldı. Ancak payload'ın biçimi ne olursa olsun, bu saldırının nihai amacı kullanıcının bilgisayarına bir Windows yürütülebilir dosyası (EXE) kurmaktır. DLL sürümünde, geçerli bir kod imzalama sertifikası içeren PuTTY istemci programı yürütülebilir dosya olarak kuruluyor; JavaScript üzerinden yayılan ikili dosya ise Electron uygulamaları için Inno Setup yükleyicisi biçiminde hazırlanmış durumda.

Bu şekilde kurulan uygulama, açık kaynaklı Grape masaüstü istemcisinin değiştirilmiş bir sürümüdür. Sistemde kalıcılık sağlayarak her 30 saniyede bir uzak sunucuya ("web-telegram[.]ug") sinyal gönderiyor, saldırganlardan gelen komutları kontrol ediyor ve JavaScript kodu ya da yürütülebilir dosyaları çalıştırıyor.

Ghost CMS kullanıcılarının zarar görmemek için kendi instance'larını derhal en güncel sürüme yükseltmesi ve tüm kimlik bilgilerini (parolalar ile API anahtarları) sıfırlaması gerekiyor. Buna ek olarak, site içeriği tamamen temizlenmeli ve erişim log'ları, şüpheli etkinlik izleri açısından dikkatle denetlenmelidir. Ayrıca sitenin kirlenmiş olabileceği dönemde ziyaret etmiş olabilecek kullanıcılara hack riski hakkında bilgi verilmesi ve dikkatli olmalarının istenmesi tavsiye ediliyor.