Mandiant menemukan bahwa kunci mesin (machineKey) ASP.NET tunggal yang dikeraskan di LMS KnowledgeDeliver buatan Digital Knowledge memungkinkan penyerang tanpa autentikasi mengeksekusi kode dari jarak jauh melalui ser... Rantai pembunuhan dimulai dengan eksploitasi CVE 2026 5426 untuk akses awal, lalu penempatan web...

Create a landscape editorial hero image for this Studio Global article: What was the CVE-2026-5426 zero-day vulnerability in the KnowledgeDeliver LMS, how was it exploited by threat actors to deploy Cobalt Strike. Article summary: **CVE-2026-5426** is a critical zero-day vulnerability in **Digital Knowledge KnowledgeDeliver**, a Japanese Learning Management System (LMS) built on ASP.NET. The root cause is a **hard-coded ASP.NET/IIS `machineKey` va. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "# KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell. A newly disclosed zero-day vulnerability in the KnowledgeDeliver Learning Management System (LMS) has been a" source context "KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM ..." Reference image 2: visual subject "# New Knowledge Deliv
Sebuah investigasi respons insiden oleh Mandiant, divisi intelijen ancaman Google, pada akhir tahun 2025 mengungkap contoh sempurna bagaimana satu kesalahan konfigurasi dapat berkembang menjadi kompromi total bertingkat. Targetnya adalah KnowledgeDeliver, sebuah Learning Management System (LMS)—platform manajemen pembelajaran daring—populer asal Jepang yang dibangun di atas framework ASP.NET. Akar masalahnya adalah machineKey ASP.NET statis yang dikeraskan (hard-coded) dan dikirimkan secara identik di setiap instalasi pelanggan . Kelemahan kritis ini, yang dilacak sebagai CVE-2026-5426, memberikan aktor ancaman kemampuan untuk melakukan unauthenticated remote code execution (RCE), atau eksekusi kode jarak jauh tanpa perlu login, pada server LMS yang terhubung ke internet. Mereka memanfaatkan pijakan ini bukan hanya untuk mengendalikan server, tetapi juga untuk mengubah platform pendidikan yang tepercaya menjadi
"sumber air beracun" (watering hole), yang akhirnya menyebarkan backdoor Cobalt Strike Beacon ke workstation para pengunjung yang tidak curiga .
Keparahan CVE-2026-5426 berasal dari kegagalan desain yang fundamental. Elemen machineKey dalam file web.config aplikasi ASP.NET dirancang sebagai sebuah rahasia kriptografis yang unik untuk setiap server. Fungsinya untuk mengenkripsi dan memvalidasi data sensitif seperti ViewState dan tiket autentikasi. Namun, Digital Knowledge mengirimkan satu machineKey statis—berisi validationKey dan decryptionKey—dalam file konfigurasi standar untuk setiap pelanggan KnowledgeDeliver .
Karena kunci ini identik di semua penerapan dan dikeraskan, ia pada dasarnya menjadi rahasia umum. Penyerang yang mendapatkan kunci ini dapat membuat payload ViewState berbahaya yang sudah diserialisasi. Dengan mengirimkan payload ini dalam permintaan POST ke halaman .aspx mana pun, mereka dapat melewati mekanisme anti-rusak ASP.NET. Server akan menerima ViewState palsu itu sebagai data yang sah dan melakukan deserialisasi, memungkinkan penyerang mengeksekusi kode arbitrer di server web IIS yang mendasarinya tanpa perlu autentikasi sama sekali . NVD memberikan skor CVSS 7.5 (Tinggi) untuk kerentanan ini, yang mencerminkan mudahnya eksploitasi berbasis jaringan oleh penyerang tanpa kredensial
.
Investigasi Mandiant mendokumentasikan serangan multi-tahap canggih yang
"mempersenjatai" platform melawan penggunanya sendiri .
Penyerang memulai kompromi dengan menemukan halaman login KnowledgeDeliver yang terpapar publik dan mengirimkan permintaan HTTP POST yang dibuat khusus. Isi dari permintaan ini berisi ViewState berbahaya yang dipalsukan menggunakan machineKey yang telah diketahui. Setelah deserialisasi, payload tersebut mengeksekusi kode dengan hak istimewa proses pekerja IIS (IIS worker process), memberi penyerang akses awal yang tidak terautentikasi ke server .
Untuk mempertahankan akses jangka panjang, penyerang menyebarkan web shell dalam memori yang dikenal sebagai Godzilla, yang secara internal dilacak Mandiant sebagai BLUEBEAM. Alat berbasis .NET ini memungkinkan aktor ancaman untuk mengeksekusi perintah, mengunggah file, dan mengelola server yang disusupi tanpa meninggalkan file .aspx berbahaya di disk, membuat deteksi melalui pemindaian file sederhana jauh lebih sulit .
Dengan saluran perintah persisten yang telah terbentuk, penyerang menggunakan web shell untuk memodifikasi file JavaScript yang disajikan oleh platform LMS. Mereka menyuntikkan skrip jarak jauh yang menampilkan peringatan keamanan atau prompt palsu kepada pengguna akhir yang mengunjungi situs yang disusupi. Komponen rekayasa sosial (social engineering) ini adalah titik kritis, mengubah kompromi server menjadi ancaman langsung bagi setiap siswa atau karyawan yang menggunakan LMS tersebut .
Skrip yang disuntikkan mengarahkan korban untuk mengunduh apa yang tampak sebagai plugin atau penginstal penting. Kenyataannya, file yang diunduh adalah payload Cobalt Strike Beacon. Backdoor berkemampuan tinggi ini membuat koneksi persisten ke infrastruktur command-and-control (C2) penyerang, memberi mereka akses jauh penuh ke workstation korban. Mandiant mencatat bahwa file payload dienkripsi menggunakan nama organisasi yang disusupi sebagai kuncinya, yang sangat menunjukkan bahwa penyerang secara spesifik menyiapkan payload untuk target yang dituju .
Berdasarkan analisis mereka, Mandiant menguraikan tindakan segera dan jangka panjang bagi para pembela keamanan yang menerapkan KnowledgeDeliver :
machineKey yang Unik: Langkah paling kritis adalah segera mengganti machineKey yang dikeraskan di file web.config dengan kunci baru yang dihasilkan secara acak dan aman, unik untuk penerapan spesifik Anda. Ini meniadakan inti dari kerentanan CVE-2026-5426 .aspx, yang merupakan indikator kuat upaya eksploitasi ViewState. Gunakan alat Endpoint Detection and Response (EDR) untuk memindai server dan jaringan dari Indikator Kompromi (IOC) terkait web shell Godzilla atau Cobalt Strike Beacon Insiden ini menjadi pengingat nyata bahwa pengaturan keamanan bawaan pada perangkat lunak pihak ketiga sangatlah penting. Sebuah rahasia yang dibagikan, yang tertanam dalam produk yang digunakan secara luas, dapat menjadi "kunci kerangka" bagi penyerang untuk tidak hanya membobol server, tetapi juga mempersenjatai aplikasi tepercaya melawan seluruh basis penggunanya.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Mandiant menemukan bahwa kunci mesin (machineKey) ASP.NET tunggal yang dikeraskan di LMS KnowledgeDeliver buatan Digital Knowledge memungkinkan penyerang tanpa autentikasi mengeksekusi kode dari jarak jauh melalui ser...
Mandiant menemukan bahwa kunci mesin (machineKey) ASP.NET tunggal yang dikeraskan di LMS KnowledgeDeliver buatan Digital Knowledge memungkinkan penyerang tanpa autentikasi mengeksekusi kode dari jarak jauh melalui ser... Rantai pembunuhan dimulai dengan eksploitasi CVE 2026 5426 untuk akses awal, lalu penempatan web shell 'Godzilla' dalam memori untuk persistensi, penyuntikan skrip jahat yang menampilkan penginstal palsu ke pengunjung...
Semua organisasi yang menjalankan KnowledgeDeliver versi sebelum patch 24 Februari 2026, dengan konfigurasi machineKey default, sangat berisiko dan harus segera melakukan rotasi kunci serta pembaruan.