ความร้ายแรงของ CVE-2026-5426 เกิดจากความล้มเหลวขั้นพื้นฐานในการออกแบบ โดยปกติแล้ว machineKey ในไฟล์ web.config ของแอปพลิเคชัน ASP.NET ควรจะเป็นความลับเฉพาะตัวที่สร้างขึ้นด้วยวิธีการเข้ารหัสที่ปลอดภัย และใช้สำหรับเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลสำคัญ เช่น ViewState และ Forms Authentication Tickets แต่ Digital Knowledge กลับจัดส่ง machineKey แบบตายตัวเพียงชุดเดียว ซึ่งมีทั้ง validationKey และ decryptionKey มาพร้อมกับไฟล์การตั้งค่ามาตรฐานให้กับลูกค้า KnowledgeDeliver ทุกราย
เนื่องจากคีย์นี้เหมือนกันในทุกการติดตั้งและถูกฮาร์ดโค้ดไว้ มันจึงกลายเป็นความลับสาธารณะที่ผู้โจมตีสามารถรู้ได้ เมื่อผู้โจมตีทราบคีย์นี้ ก็สามารถปลอมแปลงชุดข้อมูล ViewState ที่ถูกทำให้เป็นอนุกรม (Serialized) ที่เป็นอันตรายได้ โดยการส่งข้อมูลนี้ผ่านคำขอแบบ POST ไปยังหน้า .aspx ใดๆ ก็ตาม พวกเขาสามารถหลีกเลี่ยงกลไกการป้องกันการแก้ไขข้อมูลของ ASP.NET ได้ เซิร์ฟเวอร์จะยอมรับ ViewState ปลอมนี้ว่าเป็นของจริงและทำการดีซีเรียลไลซ์ (Deserialize) มัน ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดใดๆ ก็ได้บนเว็บเซิร์ฟเวอร์ IIS โดยไม่ต้องมีการยืนยันตัวตน ทาง NVD ได้ประเมินคะแนน CVSS ของช่องโหว่นี้ไว้ที่ 7.5 (ระดับสูง) ซึ่งสะท้อนให้เห็นถึงความง่ายในการโจมตีผ่านเครือข่ายโดยผู้โจมตีที่ไม่ได้รับอนุญาต
รายงานของ Mandiant ได้บันทึกการโจมตีที่ซับซ้อนหลายขั้นตอน ซึ่งเปลี่ยนแพลตฟอร์มนี้ให้กลายเป็นอาวุธทำร้ายผู้ใช้ของตัวเอง
ผู้โจมตีเริ่มต้นการบุกรุกโดยค้นหาหน้าเข้าสู่ระบบของ KnowledgeDeliver ที่เปิดเผยต่อสาธารณะ จากนั้นจึงส่งคำขอ HTTP POST ที่ออกแบบมาอย่างดี เนื้อหาของคำขอนี้บรรจุ ViewState ที่เป็นอันตราย ซึ่งถูกปลอมแปลงขึ้นโดยใช้คีย์ machineKey ที่ถูกฮาร์ดโค้ดและเป็นที่รู้จัก เมื่อเซิร์ฟเวอร์ทำการดีซีเรียลไลซ์ข้อมูลนี้ โค้ดที่ผู้โจมตีฝังไว้จะทำงานด้วยสิทธิ์ของ IIS Worker Process ทำให้พวกเขาสามารถยึดครองเซิร์ฟเวอร์ได้เป็นจุดเริ่มต้นโดยไม่ต้องยืนยันตัวตน
เพื่อรักษาการเข้าถึงระยะยาว ผู้โจมตีได้ติดตั้งเว็บเชลล์แบบฝังในหน่วยความจำที่ชื่อว่า Godzilla (ซึ่ง Mandiant ใช้รหัสภายในว่า BLUEBEAM) เครื่องมือที่พัฒนาด้วย .NET นี้ช่วยให้ผู้โจมตีสามารถรันคำสั่ง อัปโหลดไฟล์ และจัดการเซิร์ฟเวอร์ที่ถูกยึดครองได้ โดยไม่ต้องทิ้งไฟล์ .aspx ที่เป็นอันตรายไว้บนฮาร์ดดิสก์ ทำให้การตรวจจับด้วยการสแกนไฟล์แบบง่ายๆ ทำได้ยากขึ้นมาก
เมื่อมีช่องทางสั่งการที่คงอยู่ถาวรแล้ว ผู้โจมตีใช้เว็บเชลล์เพื่อแก้ไขไฟล์ JavaScript ที่ระบบ LMS ใช้ให้บริการกับผู้ใช้ โดยพวกเขาได้แทรกสคริปต์จากระยะไกลที่แสดงการแจ้งเตือนความปลอดภัยหรือข้อความเตือนปลอมแก่ผู้ใช้ปลายทางที่เข้าชมเว็บไซต์ที่ถูกบุกรุก องค์ประกอบทางวิศวกรรมสังคมนี้คือจุดเปลี่ยนสำคัญที่เปลี่ยนจากการบุกรุกเซิร์ฟเวอร์ มาเป็นภัยคุกคามโดยตรงต่อนักเรียนหรือพนักงานทุกคนที่ใช้ LMS นั้น
สคริปต์ที่ถูกแทรกจะเปลี่ยนเส้นทางผู้เสียหายให้ดาวน์โหลดสิ่งที่ดูเหมือนเป็นปลั๊กอินหรือโปรแกรมติดตั้งที่จำเป็น แต่ในความเป็นจริงแล้ว ไฟล์ที่ดาวน์โหลดมาคือชุดข้อมูล Cobalt Strike Beacon แบ็คดอร์ที่มีความสามารถสูงนี้จะสร้างการเชื่อมต่อแบบถาวรไปยังโครงสร้างการควบคุมและสั่งการ (C2) ของผู้โจมตี ทำให้พวกเขาสามารถเข้าถึงเครื่องคอมพิวเตอร์ของเหยื่อได้อย่างสมบูรณ์จากระยะไกล Mandiant ยังตั้งข้อสังเกตว่าไฟล์ข้อมูล Beacon นี้ถูกเข้ารหัสด้วยชื่อขององค์กรที่ถูกบุกรุก ซึ่งบ่งชี้อย่างชัดเจนว่าผู้โจมตีกำลังเตรียมชุดข้อมูลสำหรับเป้าหมายของพวกเขาโดยเฉพาะ
จากการวิเคราะห์ Mandiant ได้เสนอแนวทางปฏิบัติทั้งระยะสั้นและระยะยาวสำหรับผู้ดูแลระบบที่มีการติดตั้ง KnowledgeDeliver :
machineKey ขึ้นใหม่ให้ไม่ซ้ำใคร: ขั้นตอนที่สำคัญที่สุดคือการเปลี่ยน machineKey ในไฟล์ web.config ทันที ด้วยคีย์ที่สร้างขึ้นมาใหม่แบบสุ่มและเป็นเอกลักษณ์เฉพาะสำหรับการติดตั้งของคุณ นี่คือการแก้ปัญหาที่ต้นตอของช่องโหว่ CVE-2026-5426 โดยตรง .aspx ซึ่งเป็นสัญญาณบ่งชี้ที่ชัดเจนของการพยายามใช้ประโยชน์จากช่องโหว่ ViewState ใช้เครื่องมือ Endpoint Detection and Response (EDR) เพื่อสแกนหา Indicators of Compromise (IOCs) ที่เกี่ยวข้องกับ Godzilla Web Shell หรือ Cobalt Strike Beacon บนเซิร์ฟเวอร์และเครือข่าย w3wp.exe)เหตุการณ์นี้เป็นเครื่องเตือนใจที่ชัดเจนว่าการตั้งค่าความปลอดภัยเริ่มต้นในซอฟต์แวร์ของบริษัทอื่นนั้นมีความสำคัญอย่างยิ่ง ความลับร่วมเพียงตัวเดียวที่ถูกฝังอยู่ในผลิตภัณฑ์ที่มีการใช้งานอย่างแพร่หลาย สามารถกลายเป็นกุญแจดอกหลักให้ผู้โจมตีใช้ไม่เพียงแต่เจาะเข้าเซิร์ฟเวอร์เท่านั้น แต่ยังเปลี่ยนแอปพลิเคชันที่น่าเชื่อถือให้กลายเป็นอาวุธทำร้ายผู้ใช้ทั้งหมดของมันได้