SmartEnergyShare.info
Trendy

Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

700 webů padlo za víkend. Ghost CMS má díru, kterou projede kamion — a útočníci míří na energetiku

Správce webu malé české solární firmy si v pondělí ráno otevřel svůj blog. Místo úvodní stránky na něj vyskočilo okno: „Váš prohlížeč vyžaduje aktualizaci. Klikněte pro opravu." Klikl. O tři minuty později měl v systému infostealer, který vysál přihlašovací údaje k SCADA rozhraní střídačů. Tohle není sci-fi. Tohle je květen 2026.

Co se vlastně stalo

Zranitelnost CVE-2026-26980 v Ghost CMS — oblíbeném open-source publikačním systému — umožnila útočníkům převzít kontrolu nad více než 700 weby během jediného víkendu. Ghost pohání tisíce firemních blogů, newsletterů a dokumentačních portálů po celém světě. Včetně desítek webů v energetickém sektoru.

Útočníci zneužili chybu v autentizačním middleware Ghost API. Konkrétně šlo o obejití session validace při specifickém řetězení API volání — bez nutnosti znát přihlašovací údaje administrátora. Stačil jeden crafted POST request a útočník získal plný admin přístup. Patch existoval tři týdny před masovým zneužitím. Většina provozovatelů ho nenainstalovala.

Po převzetí webu útočníci nasadili takzvaný ClickFix overlay. Návštěvníkovi se zobrazí přesvědčivé dialogové okno napodobující systémovou hlášku prohlížeče. Text varuje před zastaralou verzí Chrome nebo Firefoxu a nabízí „opravu jedním kliknutím". Klik spustí PowerShell skript, který stáhne a nainstaluje credential-stealing malware. Celý řetězec od návštěvy webu po kompromitaci systému trvá méně než minutu.

Proč by vás to mělo zajímat, i když Ghost nepoužíváte

Tady nejde jen o Ghost. Útok odhalil mnohem hlubší problém: weby energetických firem, provozovatelů FVE a dodavatelů smart home řešení jsou pro útočníky ideální odrazový můstek. Návštěvníci těchto webů jsou často technici se vzdáleným přístupem k průmyslovým systémům. Jeden ukradený VPN token nebo SCADA heslo má na černém trhu cenu stovek tisíc korun.

NÚKIB ve svém varování z května 2026 explicitně zmiňuje rostoucí trend útoků na dodavatelský řetězec v energetice. Nejde přitom jen o klasické phishingové e-maily. Útočníci cílí na weby, blogy a dokumentační portály firem — místa, kam technici chodí pro návody, firmware a konfigurační soubory.

TrapDoor: když vám otráví i nástroje

Ghost CMS exploit nebyl osamocený incident. Souběžně s ním bezpečnostní výzkumníci odhalili kampaň TrapDoor — koordinovaný supply chain útok, který zasáhl tři největší ekosystémy softwarových balíčků najednou: npm, PyPI a Crates.io.

Útočníci publikovali desítky balíčků s názvy záměrně podobnými populárním knihovnám. Klasický typosquatting, ale s nepříjemným vylepšením. Škodlivý kód se neaktivoval při instalaci. Spustil se až při prvním reálném použití konkrétní funkce — což znamená, že automatické bezpečnostní skenery ho nezachytily.

Malware v TrapDoor balíčcích cílil primárně na credentials. Sbíral SSH klíče, AWS tokeny, databázové přístupy a konfigurační soubory. Pro firmy provozující IoT infrastrukturu nebo systémy řízení spotřeby energie to představuje noční můru. Jeden kompromitovaný vývojář může nevědomky otevřít dveře k celé flotile zařízení.

npm konečně táhne za brzdu

Reakce přišla překvapivě rychle. npm registry zavedl dvě zásadní změny: povinné dvoufaktorové ověření pro publikování balíčků a nové kontrolní mechanismy pro instalaci. Správci projektů teď mohou definovat whitelist povolených balíčků a blokovat instalaci neověřených závislostí.

Je to krok správným směrem. Ale upřímně — přišel o roky později, než měl. PyPI a Crates.io implementují podobná opatření, ale plný rollout potrvá měsíce. Mezitím zůstávají tisíce projektů zranitelné.

Co to znamená pro českou energetiku

Česká energetika prochází digitalizací v tempu, na které bezpečnostní praxe nestíhá reagovat. Střídače komunikují přes cloud API. Bateriové systémy se řídí přes webové dashboardy. Smart metery posílají data přes MQTT. A weby firem, které tohle všechno dodávají, běží na WordPressu, Ghostu nebo jiném CMS, který nikdo pravidelně neaktualizuje.

Představte si scénář: útočník přes kompromitovaný blog solární firmy získá přístupy technika. Přes VPN se dostane k centrálnímu řídicímu systému. Změní parametry nabíjení bateriových úložišť v desítkách instalací. Následky sahají od finančních ztrát po fyzické poškození zařízení.

Tohle není paranoia. CISA dokumentuje obdobné vektory útoku v energetickém sektoru od roku 2024. Rozdíl je v tom, že dřív to vyžadovalo sofistikovaného state-sponsored aktéra. Dneska stačí skript kiddie s přístupem k hotovému exploit kitu.

Jak se bránit — konkrétně

Zaprvé: aktualizujte. Zní to banálně, ale tři týdny nepatchovaného Ghost CMS stačily k převzetí 700 webů. Zavedení automatických aktualizací pro CMS a všechny jeho pluginy by mělo být standard, ne výjimka.

Zadruhé: segmentujte. Webový server s firemním blogem nemá co dělat ve stejné síti jako řídicí systémy. Ani ve stejném cloudu. Ani se stejnými credentials. Zero trust architektura není buzzword — je to nutnost.

Zatřetí: auditujte závislosti. Každý npm install, každý pip install je potenciální vstupní bod. Nástroje jako `npm audit`, Snyk nebo Socket.dev umí identifikovat podezřelé balíčky. Používejte lock soubory. Pinujte verze. Kontrolujte, co do svého buildu pouštíte.

Začtvrté: monitorujte chování, ne jen perimetr. Infostealer, který projde přes kompromitovaný web, se neprojeví na firewallu. Projeví se anomálním chováním — neobvyklé API volání, export dat mimo pracovní dobu, přístup ke konfiguračním souborům z neznámé IP. Kdo provozuje energetickou infrastrukturu a nemá nasazený EDR nebo alespoň centralizovaný logging, hraje ruskou ruletu.

Firmy jako SmartEnergyShare ukazují, že inteligentní řízení energetických systémů a bezpečnost nejsou protichůdné požadavky. Naopak — AI-driven monitoring dokáže odhalit anomálie v chování zařízení dřív, než si jich všimne člověk. Ale jen pokud je celý stack od webové prezentace po řídicí systém navržený s bezpečností jako základním požadavkem, ne jako dodatečnou vrstvou.

Co bude dál

Supply chain útoky nezmizí. Budou sofistikovanější. ClickFix overlaye budou přesvědčivější. A energetická infrastruktura bude stále lákavějším cílem — protože na ní závisí všechno ostatní.

Otázka není, jestli se to dotkne české energetiky. Otázka je, jestli budeme připravení, až se to stane. Dosavadní evidence naznačuje, že spíš ne. Ale každá firma, která dnes nasadí patch, zapne 2FA a segmentuje svou síť, je o krok blíž k tomu, aby se nestala dalším číslem ve statistice.

Sedm set webů padlo za víkend. Kolik jich padne příště?

← Zpět na všechny články