284/69 (IT) ประจำวันอังคารที่ 26 พฤษภาคม 2569
มีรายงานพบแคมเปญโจมตีขนาดใหญ่ที่ใช้ประโยชน์จากช่องโหว่ SQL Injection ระดับ Critical ใน Ghost CMS หมายเลข CVE-2026-26980 เพื่อฝังโค้ด JavaScript อันตรายลงในเว็บไซต์ และนำไปสู่กระบวนการโจมตีแบบ ClickFix ซึ่งเป็นเทคนิคหลอกให้ผู้ใช้งานดำเนินการตามคำแนะนำปลอมบนหน้าเว็บไซต์ โดยนักวิจัยด้านข่าวกรองภัยจาก XLab ของบริษัท Qianxin ระบุว่าพบโดเมนที่ได้รับผลกระทบมากกว่า 700 โดเมน ครอบคลุมทั้งเว็บไซต์มหาวิทยาลัย บริษัทด้าน AI/SaaS สื่อออนไลน์ บริษัท FinTech เว็บไซต์ด้านความมั่นคงปลอดภัย และบล็อกส่วนบุคคล
ช่องโหว่ CVE-2026-26980 ส่งผลกระทบต่อ Ghost CMS เวอร์ชัน 3.24.0 ถึง 6.19.0 โดยเปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถอ่านข้อมูลจากฐานข้อมูลของเว็บไซต์ได้ รวมถึง Admin API Key ซึ่งเป็นข้อมูลสำคัญที่สามารถใช้เข้าถึงและจัดการผู้ใช้งาน บทความ และธีมของเว็บไซต์ รวมถึงแก้ไขหน้าเนื้อหาได้ แม้ Ghost CMS จะออกแพตช์แก้ไขช่องโหว่ดังกล่าวแล้วตั้งแต่วันที่ 19 กุมภาพันธ์ ในเวอร์ชัน 6.19.1 แต่ยังมีเว็บไซต์จำนวนมากที่ไม่ได้อัปเดต ส่งผลให้ผู้โจมตีนำช่องโหว่ดังกล่าวไปใช้โจมตีอย่างต่อเนื่อง
จากการวิเคราะห์พบว่า ผู้โจมตีใช้ช่องโหว่ดังกล่าวเพื่อขโมย Admin API Key ก่อนนำสิทธิ์ที่ได้ไปฝัง JavaScript อันตรายลงในบทความของเว็บไซต์ โดยสคริปต์ดังกล่าวจะโหลดโค้ดขั้นถัดไปจากโครงสร้างพื้นฐานของผู้โจมตี และคัดกรองผู้เข้าชมเว็บไซต์เพื่อเลือกเป้าหมาย หากผู้ใช้งานผ่านเงื่อนไขที่กำหนด จะถูกแสดงหน้าตรวจสอบปลอมที่เลียนแบบ Cloudflare เพื่อหลอกให้ดำเนินการตามคำสั่ง ซึ่งอาจนำไปสู่การติดตั้ง Payload อันตราย เช่น DLL Loader, JavaScript Dropper และมัลแวร์ UtilifySetup.exe ผู้ดูแลเว็บไซต์ที่ใช้งาน Ghost CMS ควรเร่งอัปเดตเป็นเวอร์ชัน 6.19.1 หรือใหม่กว่า เปลี่ยน Key ที่เคยใช้งาน ตรวจสอบและลบสคริปต์ที่ถูกฝังโดยไม่ได้รับอนุญาต รวมถึงจัดเก็บ Log การเรียกใช้งาน Admin API อย่างน้อย 30 วัน เพื่อสนับสนุนการตรวจสอบย้อนหลังและการตอบสนองต่อเหตุการณ์อย่างมีประสิทธิภาพ