Bahaya Serangan Ghost CMS –

Bahaya Serangan Ghost CMS – Pengelolaan konten digital tengah menghadapi ancaman serius setelah sebuah operasi peretasan berskala besar dilaporkan aktif mengeksploitasi celah keamanan kritis pada platform Ghost CMS.

Menggunakan kerentanan SQL Injection berkode CVE-2026-26980, para penjahat siber menyusupkan skrip JavaScript berbahaya untuk melancarkan alur serangan penipuan yang dikenal sebagai metode ClickFix.

Kampanye berbahaya ini berhasil dibongkar oleh tim intelijen ancaman dari firma siber Qianxin. Berdasarkan temuan mereka, serangan otonom ini telah menginfeksi lebih dari 700 domain di seluruh dunia.

Sektor yang terdampak mencakup portal universitas terkemuka, perusahaan AI/SaaS, media massa, perusahaan teknologi finansial (fintech), situs web keamanan siber, hingga blog pribadi.

Yang mengejutkan, para penyerang dilaporkan sukses menanamkan kode berbahaya ini pada situs-situs bereputasi tinggi, termasuk milik Harvard University, Oxford University, Auburn University, hingga mesin pencari DuckDuckGo.

Eksploitasi Celah CVE-2026-26980

Celah keamanan CVE-2026-26980 diketahui berdampak pada platform Ghost CMS versi 3.24.0 sampai 6.19.0.

Kerentanan ini sangat berbahaya karena memungkinkan penyerang luar yang tidak terotentikasi (unauthenticated attackers) secara paksa membaca data acak dari basis data situs web, termasuk menguras kunci akses administrator (Admin API Keys).

Di dalam arsitektur Ghost CMS, kunci API admin tersebut memegang peran krusial. Siapa pun yang menguasai kunci ini akan mendapatkan hak akses manajemen penuh untuk:

Mengelola, menambah, atau menghapus pengguna (users).
Mengubah, menyunting, dan menyisipkan skrip pada seluruh artikel.
Mengganti tema situs web secara keseluruhan.

Meskipun tambalan (patch) keamanan untuk mengatasi masalah ini telah dirilis secara resmi sejak 19 Februari 2026 pada Ghost CMS versi 6.19.1, banyak administrator situs web yang dilaporkan lalai atau terlambat memasang pembaruan tersebut.

Kondisi ini dimanfaatkan dengan cepat oleh peretas. Firma keamanan lain juga mendeteksi adanya dua kluster aktivitas peretas berbeda yang saling berebut menginfeksi situs Ghost yang rentan, di mana mereka sering kali membersihkan skrip peretas pesaing demi menanamkan skrip berbahaya milik mereka sendiri.

Baca juga: Bahaya Driver Rentan Qilin

Rantai Serangan

Para peneliti memetakan alur kerja serangan (attack chain) yang berjalan dalam beberapa fase sistematis sebagai berikut:

Rantai Serangan Clickfix

[Fase 1] Eksploitasi CVE-2026-26980 -> Pencurian Kunci Admin API

[Fase 2] Penyusupan Skrip JavaScript Ringan ke Halaman Artikel

[Fase 3] Analisis Sidik Jari Pengunjung (Fingerprinting & Cloaking)

[Fase 4] Tampilan Jendela Sembul “Cloudflare” Palsu (iFrame Overlay)

[Fase 5] Manipulasi Korban untuk Salin-Tempel Perintah ke Cmd Windows

[Fase 6] Eksekusi Payload Utama (UtilifySetup.exe / DLL Loader)

Injeksi Skrip Ringan: Setelah mencuri kunci API Admin, peretas menyuntikkan skrip JavaScript ringan ke dalam artikel-artikel di situs web korban. Skrip ini bertindak sebagai pemuat (loader) tahap pertama.
Pemindaian Target (Cloaking): Skrip tersebut akan menarik kode tahap kedua dari server peretas yang berfungsi menganalisis sidik jari digital (fingerprinting) pengunjung. Tujuannya adalah memastikan apakah pengunjung menggunakan sistem operasi target (seperti Windows) dan bukan robot pemindai milik peneliti keamanan.
Jebakan Sembul Cloudflare Palsu: Pengunjung yang lolos verifikasi peretas akan dihadapkan pada jendela sembul (pop-up) palsu berkedok Cloudflare yang dimuat melalui komponen iFrame tepat di atas artikel yang sedang mereka baca. Jendela ini menampilkan pesan eror palsu dan meminta pengguna melakukan verifikasi manusia (ClickFix).
Eksekusi Perintah Berbahaya: Korban dimanipulasi untuk menekan kombinasi tombol tertentu dan menempelkan (paste) sebuah baris perintah otomatis ke dalam Prompt Perintah (Command Prompt/cmd.exe) Windows mereka dengan dalih memperbaiki masalah pemuatan halaman.
Pemasangan Payload Akhir: Begitu perintah tersebut dijalankan oleh korban, sistem akan otomatis mengunduh dan mengeksekusi muatan (payload) berbahaya ke dalam komputer mereka. Beberapa jenis malware yang terdeteksi dalam kampanye ini meliputi DLL loaders, JavaScript droppers, hingga aplikasi berbahaya berbasis Electron bernama UtilifySetup.exe.

Bahaya Manipulasi Teks Memori (Clipboard)

Untuk memberikan pemahaman yang komprehensif, para peneliti siber mencatat bahwa serangan berbasis ClickFix ini merupakan salah satu ancaman rekayasa sosial paling berbahaya di sepanjang tahun 2026. Taktik ini tidak lagi mengandalkan file unduhan langsung yang sering diblokir oleh peramban modern.

Sebaliknya, peretas memanfaatkan fungsi papan klip (clipboard) peramban. Ketika korban mengeklik tombol “Salin” di halaman palsu tersebut, skrip di latar belakang secara otomatis menyalin serangkaian kode berbahaya (biasanya perintah PowerShell terenkripsi Base64).

Begitu pengguna tertipu dan menempelkannya ke dalam terminal Windows, komputer mereka secara sah mengeksekusi perintah luar tersebut, melewati filter deteksi keamanan antivirus konvensional karena eksekusi dianggap dipicu secara sadar oleh pengguna.

Mitigasi bagi Administrator Situs Web

Guna memutus rantai serangan dan mengamankan platform pengelolaan konten Anda dari infeksi taktik ClickFix ini, para peneliti menyarankan tindakan darurat berikut:

Segera Perbarui Versi Ghost CMS: Langkah paling utama adalah melakukan pembaruan (upgrade) sistem Ghost CMS Anda ke versi 6.19.1 atau yang lebih baru demi menutup celah celah SQL Injection CVE-2026-26980.
Rotasi Seluruh Kunci Akses (API Keys): Karena kunci API lama kemungkinan besar sudah dijarah oleh peretas selama masa kerentanan, Anda wajib mencabut (revoke) dan membuat ulang seluruh kunci API Admin, token sesi, dan kata sandi yang pernah digunakan sebelumnya.
Audit Konten dan Skrip Terinjeksi: Lakukan pemeriksaan menyeluruh terhadap basis data artikel dan tema situs web Anda untuk mendeteksi dan menghapus skrip eksternal mencurigakan yang ditanamkan peretas. Gunakan daftar Indikator Kompromi (IoC) resmi yang telah dirilis untuk mempermudah pencarian.
Simpan Log Panggilan API Selama 30 Hari: Pemilik situs web sangat disarankan untuk mempertahankan catatan log panggilan API Admin setidaknya selama 30 hari ke belakang. Dokumentasi log ini sangat krusial untuk melakukan investigasi forensik retrospektif guna mengetahui kapan dan akun mana yang pertama kali disalahgunakan oleh penyerang.

Mengeliminir Kelalaian

Kasus eksploitasi Ghost CMS ini membuktikan bahwa kelalaian dalam melakukan penambalan keamanan pada platform publik dapat berakibat fatal, bahkan bagi institusi pendidikan raksasa sekelas Harvard dan Oxford.

Peretas terus memanfaatkan celah teknis untuk melancarkan serangan rekayasa sosial yang manipulatif di sisi pengguna akhir. Kombinasi antara kedisiplinan administrator dalam memperbarui sistem, pemantauan log panggilan API secara keta.

Serta pemasangan solusi keamanan perimeter yang andal adalah benteng pertahanan mutlak dalam menjaga kedaulatan digital organisasi Anda.