Критичность CVE-2026-5426 обусловлена фундаментальным просчётом в проектировании. Элемент machineKey в файле web.config приложения ASP.NET задуман как уникальный, криптографически стойкий секретный ключ, используемый для шифрования и проверки подлинности критичных данных, таких как ViewState и билеты аутентификации форм. Однако компания Digital Knowledge поставляла единый статический machineKey — содержащий и validationKey, и decryptionKey — в стандартном файле конфигурации для каждого экземпляра KnowledgeDeliver .
Поскольку ключ был идентичен во всех развёртываниях и был жёстко прописан в коде, он фактически стал общеизвестным секретом. Злоумышленник, получивший этот ключ, мог подделать вредоносный сериализованный объект ViewState. Отправляя такую полезную нагрузку в POST-запросе на любую страницу .aspx, он обходил встроенные в ASP.NET механизмы защиты от подделки. Сервер воспринимал поддельный ViewState как легитимный и десериализовывал его, что позволяло атакующему выполнить произвольный код на веб-сервере IIS без какой-либо аутентификации . Национальная база данных уязвимостей США (NVD) присвоила этой проблеме оценку 7.5 по шкале CVSS (высокий уровень опасности), что отражает простоту её эксплуатации неаутентифицированным злоумышленником по сети
.
Расследование Mandiant задокументировало сложную многоэтапную атаку, которая превратила платформу в оружие против её же пользователей .
Злоумышленник начал компрометацию с обнаружения общедоступной страницы входа в KnowledgeDeliver и отправки специально созданного HTTP POST-запроса. Тело этого запроса содержало вредоносный ViewState, подделанный с использованием известного жёстко запрограммированного ключа. При десериализации полезная нагрузка выполняла код с привилегиями рабочего процесса IIS, предоставляя злоумышленнику первоначальный неаутентифицированный доступ к серверу .
Для сохранения долгосрочного доступа злоумышленник развернул внутрипроцессный веб-шелл, известный как Godzilla (во внутренней классификации Mandiant — BLUEBEAM). Этот инструмент на базе .NET позволял злоумышленнику выполнять команды, загружать файлы и управлять скомпрометированным сервером, не оставляя вредоносных файлов .aspx на диске, что значительно затрудняло обнаружение простым файловым сканированием .
Имея постоянный командный канал, злоумышленник использовал веб-шелл для модификации JavaScript-файлов, обслуживаемых платформой LMS. Он внедрил удалённый скрипт, который показывал поддельное предупреждение безопасности или уведомление конечным пользователям, посещающим скомпрометированный сайт. Этот компонент социальной инженерии стал ключевым поворотным моментом, превратившим компрометацию сервера в прямую угрозу для каждого студента или сотрудника, использующего LMS .
Внедрённый скрипт перенаправлял жертв на загрузку якобы необходимого плагина или установщика. На самом деле загружаемый файл был полезной нагрузкой Cobalt Strike Beacon. Этот исключительно функциональный бэкдор устанавливал постоянное соединение с командно-контрольной инфраструктурой злоумышленника, предоставляя ему полный удалённый доступ к рабочей станции жертвы. Mandiant отметила, что файл полезной нагрузки был зашифрован с использованием названия скомпрометированной организации в качестве ключа, что убедительно свидетельствует о целенаправленной подготовке атакующими полезных нагрузок для своих конкретных жертв .
На основе проведённого анализа Mandiant описала немедленные и долгосрочные действия для специалистов по защите информации, в чьих инсталляциях KnowledgeDeliver присутствует уязвимость :
machineKey: Самый важный шаг — немедленно заменить жёстко запрограммированный ключ machineKey в файле web.config на новый, криптографически случайный ключ, уникальный для вашего конкретного развёртывания. Это сводит на нет главную угрозу CVE-2026-5426 .aspx — это явный индикатор попыток эксплуатации ViewState. Используйте инструменты обнаружения и реагирования на конечных точках (EDR) для сканирования сервера и сети на наличие индикаторов компрометации (IOC), связанных с веб-шеллом Godzilla или Cobalt Strike Beacon Этот инцидент служит суровым напоминанием о критической важности настроек безопасности по умолчанию в стороннем программном обеспечении. Один общий секрет, заложенный в широко используемый продукт, может стать универсальной отмычкой для злоумышленников, позволяя не только взламывать серверы, но и превращать доверенное приложение в оружие против всей его пользовательской базы.