Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Stačí jedna chyba v Ghost CMS a vaše FVE patří útočníkům. Takhle vypadá digitální loupež roku 2026

Zapomeňte na maskované lupiče s brokovnicí, co přepadají banky. Moderní bankovní loupež se dnes odehrává v tichu serveroven a v řádcích kódu, o kterých většina lidí nemá ani tušení. Před pár dny otřásla světem kyberbezpečnosti zpráva o masivním zneužití zranitelnosti CVE-2026-26980 v populárním redakčním systému Ghost CMS. Výsledek? Přes 700 webů během pár hodin přešlo pod kontrolu útočníků. A nejde jen o nějaké osobní blogísky. Mezi oběťmi jsou firemní portály, finanční služby a — co je nejmrazivější — i rozhraní pro správu kritické infrastruktury. #

ClickFix: Když vám prohlížeč lže do očí

Útočníci tentokrát nešli cestou složitých šifer. Vsadili na lidskou lenost a důvěřivost. Metoda zvaná „ClickFix“ je geniálně jednoduchá a brutálně efektivní. Představte si, že jdete na svůj oblíbený web o financích nebo na panel správy své chytré domácnosti. Najednou na vás vyskočí okno: „Chyba při vykreslování stránky. Pro opravu klikněte sem a vložte tento kód do terminálu.“ Většina lidí, unavená neustálými aktualizacemi všeho možného, to prostě udělá. Jenže ten „kód“ není oprava. Je to příkaz pro PowerShell nebo terminál, který do vašeho systému stáhne malware TrapDoor. Tenhle malý prevít okamžitě začne vysávat hesla, cookies a přístupy k bankovním účtům. Než si stihnete dopít ranní kávu, útočník už sedí ve vašem systému s právy administrátora. #

TrapDoor: Jed v samotných základech

Zatímco Ghost CMS byl vstupní branou, skutečným hororem je útok na dodavatelský řetězec (supply chain attack). Malware TrapDoor se totiž nešířil jen přes hacknuté weby. Útočníci ho dokázali propašovat přímo do repozitářů jako npm, PyPI a CratesIO. To jsou místa, odkud si vývojáři z celého světa stahují hotové kousky kódu pro své aplikace. Pokud tedy vaše firma vyvíjí software pro řízení energetické sítě nebo platformu pro sdílení energie, je dost dost pravděpodobné, že vaši programátoři nevědomky použili infikovanou knihovnu. Stačí jeden nepozorný "npm install" a celá vaše infrastruktura má v sobě zadní vrátka. Je to jako stavět dům z cihel, o kterých nevíte, že v sobě mají zabudovanou nálož. #

Proč by to mělo zajímat majitele solárů a energetiky?

Možná si říkáte: „Mám na střeše pár panelů, co by u mě hackeři hledali?“ Odpověď je jednoduchá: peníze a chaos. Energetika je dnes propojená víc než kdy dřív. Moderní systémy jako [Smart Energy Share](https://smartenergyshare.com) sice staví na bezpečnosti, ale trh je zaplaven levnými střídači a řídicími jednotkami z pochybných zdrojů, které často běží na zastaralém linuxovém jádře s děravým webovým rozhraním. Pokud útočník ovládne 300 nebo 500 solárních střídačů v jedné oblasti, může začít s rozvodnou sítí dělat divy. Stačí je všechny najednou odpojit nebo naopak začít dodávat maximum energie v momentě, kdy to síť nečeká. To už není jen o ukradené kreditce. To je o stabilitě celé země. Energetika je dnes kritickou infrastrukturou par excellence a kybernetičtí útočníci to moc dobře vědí. #

NUKIB varuje: Neberte to na lehkou váhu

Český Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) v tomto směru mluví jasně. Doporučení pro ochranu dodavatelského řetězce nejsou jen nudné papíry pro úředníky. Jsou to pravidla přežití v digitální džungli. Podle [NUKIB](https://nukib.gov.cz) je klíčové nejen hlídat své vlastní servery, ale především prověřovat každou knihovnu a každého subdodavatele, který má k vašim systémům přístup. Útok TrapDoor ukázal, že ani velké platformy jako npm nejsou stoprocentně bezpečné. Proto npm konečně zavedlo povinné dvoufaktorové ověřování (2FA) pro publikování balíčků a nové kontrolní mechanismy pro instalaci. Je to sice o opruz navíc pro programátory, ale je to jediná cesta, jak zabránit tomu, aby se z jednoho hacknutého účtu vývojáře stala globální katastrofa. #

Jak se nenechat „ulovit“?

Pokud spravujete web, provozujete FVE nebo prostě jen nechcete přijít o peníze na účtu, tady je pár rad, co s tím: 1. **Aktualizujte, ale prověřujte.** Pokud používáte Ghost CMS, okamžitě přejděte na verzi, která záplatuje CVE-2026-26980. Ale pozor — stahujte jen z oficiálních zdrojů. 2. **Zapomeňte na copy-paste z webu.** Nikdy, ale opravdu nikdy, nevkládejte do svého terminálu kód, který vám podstrčí nějaké vyskakovací okno na webu. Žádný prohlížeč se neopravuje přes PowerShell. 3. **Oddělujte sítě.** Vaše fotovoltaika nebo chytrá lednice by neměly být ve stejné síti jako váš počítač s internetovým bankovnictvím. Segmentace sítě je základní hygienou, kterou většina domácností i menších firem trestuhodně zanedbává. 4. **Sledujte zdroje.** Pokud se pohybujete v energetice, sledujte zprávy od NUKIB nebo americké CISA. Útoky se často opakují v podobných vzorcích. #

Finanční dopady: Účet za nepozornost

Finanční ztráty spojené s útokem TrapDoor se už teď odhadují na stovky milionů dolarů. Nejde jen o přímé krádeže z účtů. Zaplatit musíte i experty na forenzní analýzu, obnovu dat a často i pokuty za únik osobních údajů. Pro firmu v energetickém sektoru může být takový útok likvidační nejen finančně, ale i reputačně. Kdo by svěřil řízení své elektrárny někomu, kdo si neumí ohlídat ani vlastní blog? Moderní energetika postavená na datech a AI nabízí neuvěřitelné možnosti úspor a efektivity. Ale každý řádek kódu, který nám pomáhá šetřit, může být zároveň zbraní namířenou proti nám. Útok na Ghost CMS a supply chain malware TrapDoor jsou jen špičkou ledovce. Příště, až uvidíte „výhodnou nabídku“ na instalaci chytrého řízení energie od firmy, o které nikdo nikdy neslyšel, vzpomeňte si na těchto 700 hacknutých webů. Bezpečnost není produkt, který si koupíte v krabici. Je to proces, který nikdy nekončí. A pokud na něj rezignujete, dříve nebo později vám někdo jiný zhasne světlo. Doslova.