CVE-2026-5426 की गंभीरता एक बुनियादी डिज़ाइन की विफलता से पैदा होती है। ASP.NET एप्लिकेशन की web.config फ़ाइल में machineKey एलिमेंट एक अनोखी, क्रिप्टोग्राफिक रूप से सुरक्षित गुप्त कुंजी होनी चाहिए जिसका इस्तेमाल व्यूस्टेट (ViewState) और फॉर्म्स ऑथेंटिकेशन टिकट जैसे संवेदनशील डेटा को एन्क्रिप्ट और मान्य (वैलिडेट) करने के लिए होता है। लेकिन Digital Knowledge ने हर KnowledgeDeliver ग्राहक के लिए स्टैंडर्ड कॉन्फ़िगरेशन फ़ाइल में एक सिंगल, स्टैटिक machineKey—जिसमें validationKey और decryptionKey दोनों शामिल थे—शिप कर दी ।
चूँकि यह कुंजी सभी इंस्टॉलेशन में एक जैसी और हार्ड-कोडेड थी, यह एक सार्वजनिक रूप से ज्ञात राज़ बन गई। जो भी हमलावर इस कुंजी को पा लेता, वह एक दुर्भावनापूर्ण, सीरियलाइज़्ड व्यूस्टेट पेलोड बना सकता था। इस पेलोड को किसी भी .aspx पेज पर POST रिक्वेस्ट के ज़रिए भेजकर, वह ASP.NET के छेड़छाड़-रोधी तंत्र को बायपास कर सकता था। सर्वर इस जाली व्यूस्टेट को सही मान लेता और इसे डिसेरियलाइज़ कर देता, जिससे हमलावर बिना किसी प्रमाणीकरण के अंतर्निहित IIS वेब सर्वर पर मनमाना कोड चला सकता था । NVD ने इस खामी को 7.5 (हाई) का CVSS स्कोर दिया, जो नेटवर्क के ज़रिए बिना प्रमाणीकरण वाले हमलावर द्वारा आसान एक्सप्लॉइटेशन को दर्शाता है
।
मैंडियंट की जाँच ने एक जटिल, मल्टी-स्टेज हमले का दस्तावेज़ीकरण किया जिसने प्लेटफ़ॉर्म को उसके अपने यूज़र्स के खिलाफ एक हथियार बना दिया ।
हमलावर ने पहले सार्वजनिक रूप से उजागर KnowledgeDeliver लॉगिन पेज का पता लगाकर और एक सावधानी से तैयार की गई HTTP POST रिक्वेस्ट भेजकर हमले की शुरुआत की। इस रिक्वेस्ट के बॉडी में जानी-मानी हार्ड-कोडेड मशीन की का इस्तेमाल करके बनाया गया एक दुर्भावनापूर्ण व्यूस्टेट था। डिसेरियलाइज़ेशन के बाद, इस पेलोड ने IIS वर्कर प्रोसेस के विशेषाधिकारों के साथ कोड एक्ज़ीक्यूट किया, जिससे हमलावर को सर्वर पर बिना किसी प्रमाणीकरण के शुरुआती पकड़ मिल गई ।
लंबे समय तक एक्सेस बनाए रखने के लिए, हमलावर ने गॉडज़िला (Godzilla) नाम का एक इन-मेमोरी वेब शेल डिप्लॉय किया, जिसे मैंडियंट आंतरिक रूप से BLUEBEAM के नाम से ट्रैक करती है। इस .NET-आधारित टूल ने हमलावर को कमांड एक्ज़ीक्यूट करने, फ़ाइलें अपलोड करने और सर्वर पर दुर्भावनापूर्ण .aspx फ़ाइलें छोड़े बिना कंट्रोल करने की सुविधा दी। इससे सामान्य फ़ाइल स्कैनिंग से इसका पता लगाना बहुत मुश्किल हो गया ।
एक बार लगातार कमांड चैनल स्थापित हो जाने के बाद, हमलावर ने वेब शेल का इस्तेमाल करके LMS प्लेटफ़ॉर्म द्वारा सर्व की जाने वाली जावास्क्रिप्ट फ़ाइलों को मॉडिफाई कर दिया। उन्होंने एक रिमोट स्क्रिप्ट इंजेक्ट की जो साइट पर आने वाले यूज़र्स को एक नकली सुरक्षा चेतावनी या प्रॉम्प्ट दिखाती थी। यह सोशल इंजीनियरिंग वाला हिस्सा एक महत्वपूर्ण मोड़ था, जिसने सर्वर के समझौते को LMS का उपयोग करने वाले हर छात्र या कर्मचारी के लिए सीधे खतरे में बदल दिया ।
इंजेक्ट की गई स्क्रिप्ट पीड़ितों को एक ज़रूरी प्लगइन या इंस्टालर के रूप में डाउनलोड करने के लिए रीडायरेक्ट करती थी। हकीकत में, डाउनलोड की गई फ़ाइल एक Cobalt Strike बीकन पेलोड थी। यह बेहद सक्षम बैकडोर हमलावर के कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर से एक लगातार कनेक्शन स्थापित कर लेती थी, जिससे उन्हें पीड़ित के वर्कस्टेशन पर पूरा रिमोट एक्सेस मिल जाता था। मैंडियंट ने नोट किया कि पेलोड फ़ाइल को समझौता किए गए संगठन के नाम का इस्तेमाल करके एक कुंजी के रूप में एन्क्रिप्ट किया गया था, जो दर्शाता है कि हमलावर अपने लक्ष्यों के लिए विशेष रूप से पेलोड तैयार कर रहे थे ।
अपने विश्लेषण के आधार पर, मैंडियंट ने प्रभावित KnowledgeDeliver इंस्टॉलेशन वाले डिफेंडरों के लिए तत्काल और दीर्घकालिक कार्रवाइयों की रूपरेखा तैयार की :
machineKey जनरेट करें: सबसे महत्वपूर्ण कदम यह है कि web.config फ़ाइल में मौजूद हार्ड-कोडेड machineKey को तुरंत एक नई जनरेट की गई, क्रिप्टोग्राफिक रूप से रैंडम कुंजी से बदलें जो आपके विशिष्ट इंस्टॉलेशन के लिए अनोखी हो। यह CVE-2026-5426 की कमज़ोरी की जड़ को खत्म करता है .aspx पेजों पर असामान्य POST अनुरोधों के लिए IIS वेब सर्वर लॉग की जाँच करें, जो व्यूस्टेट एक्सप्लॉइटेशन प्रयासों का एक मज़बूत संकेत हैं। गॉडज़िला वेब शेल या Cobalt Strike बीकन से संबंधित समझौता संकेतकों (IOCs) के लिए सर्वर और नेटवर्क को स्कैन करने के लिए एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) टूल का उपयोग करें यह घटना एक स्पष्ट चेतावनी है कि तीसरे पक्ष के सॉफ़्टवेयर में सुरक्षा डिफ़ॉल्ट कितने महत्वपूर्ण हैं। एक व्यापक रूप से उपयोग किए जाने वाले उत्पाद में बेक किया गया एक साझा राज़, हमलावरों के लिए एक ऐसी मास्टर चाबी बन सकता है जो न केवल सर्वरों को भेद सकती है, बल्कि एक भरोसेमंद एप्लिकेशन को उसके पूरे उपयोगकर्ता आधार के खिलाफ एक हथियार में भी बदल सकती है।