Mức độ nghiêm trọng của CVE-2026-5426 bắt nguồn từ một lỗi thiết kế nền tảng. Phần tử machineKey trong tệp web.config của ứng dụng ASP.NET lẽ ra phải là một bí mật mã hóa, duy nhất và an toàn, dùng để mã hóa và xác thực các dữ liệu nhạy cảm như ViewState hay phiếu xác thực biểu mẫu. Tuy nhiên, Digital Knowledge đã đóng gói một machineKey tĩnh – bao gồm cả validationKey lẫn decryptionKey – vào tệp cấu hình chuẩn cho mỗi khách hàng sử dụng KnowledgeDeliver .
Vì chìa khóa này giống hệt nhau trên mọi bản triển khai và được mã hóa cứng, nó đã trở thành một bí mật công khai. Kẻ tấn công có được chìa khóa này có thể tạo ra một payload ViewState độc hại đã được tuần tự hóa. Bằng cách gửi payload này trong một yêu cầu POST đến bất kỳ trang .aspx nào, chúng có thể vượt qua cơ chế chống giả mạo của ASP.NET. Máy chủ sẽ chấp nhận ViewState giả mạo như một dữ liệu hợp pháp và giải tuần tự hóa nó, cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ web IIS nền tảng mà không cần bất kỳ xác thực nào . Cơ sở dữ liệu lỗ hổng quốc gia Mỹ (NVD) đã chấm điểm CVSS 7.5 (Cao) cho lỗ hổng này, phản ánh mức độ dễ dàng khai thác qua mạng bởi một kẻ tấn công chưa được xác thực
.
Cuộc điều tra của Mandiant ghi nhận một chiến dịch tấn công tinh vi, đa giai đoạn, vũ khí hóa chính nền tảng để chống lại người dùng của nó .
Kẻ tấn công bắt đầu xâm nhập bằng cách xác định vị trí trang đăng nhập KnowledgeDelver được công khai trên Internet và gửi một yêu cầu HTTP POST được tạo ra một cách cẩn thận. Phần thân của yêu cầu này chứa một ViewState độc hại được giả mạo bằng chính machineKey cứng đã biết. Khi payload được giải tuần tự hóa, nó thực thi mã với quyền của tiến trình IIS worker, cho kẻ tấn công chỗ đứng ban đầu chưa được xác thực trên máy chủ .
Để duy trì quyền truy cập lâu dài, kẻ tấn công đã triển khai một web shell hoạt động trong bộ nhớ có tên là Godzilla, được Mandiant theo dõi nội bộ với tên gọi BLUEBEAM. Công cụ dựa trên .NET này cho phép nhóm tấn công thực thi lệnh, tải tệp lên và quản lý máy chủ bị xâm nhập mà không để lại các tệp .aspx độc hại trên ổ cứng, khiến việc phát hiện bằng cách quét tệp đơn thuần trở nên khó khăn hơn nhiều .
Với kênh lệnh điều khiển đã được thiết lập, kẻ tấn công sử dụng web shell để chỉnh sửa các tệp JavaScript được chính nền tảng LMS phân phát. Chúng đã tiêm một đoạn mã từ xa có chức năng hiển thị cảnh báo bảo mật giả hoặc lời nhắc nhở cho người dùng cuối khi họ truy cập trang web bị xâm nhập. Thành phần kỹ thuật lừa đảo xã hội này là điểm pivot quan trọng, biến việc xâm nhập máy chủ thành mối đe dọa trực tiếp đến từng sinh viên hoặc nhân viên sử dụng nền tảng LMS .
Đoạn mã được tiêm vào sẽ chuyển hướng nạn nhân đến tải xuống một thứ có vẻ ngoài như một plugin hoặc trình cài đặt cần thiết. Trên thực tế, tệp được tải xuống chính là một payload Cobalt Strike Beacon. Loại cửa hậu có khả năng cao này đã thiết lập một kết nối liên tục đến máy chủ điều khiển (C2) của kẻ tấn công, cho phép chúng toàn quyền truy cập từ xa vào máy trạm của nạn nhân. Mandiant lưu ý rằng tệp payload đã được mã hóa bằng chính tên của tổ chức bị xâm nhập như một khóa giải mã, điều này cho thấy rõ ràng những kẻ tấn công đã chuẩn bị payload dành riêng cho các mục tiêu đã định của chúng .
Dựa trên phân tích của mình, Mandiant đã vạch ra các hành động tức thì và lâu dài cho các đơn vị phòng thủ có triển khai KnowledgeDeliver bị ảnh hưởng :
machineKey duy nhất: Bước quan trọng nhất là ngay lập tức thay thế machineKey được mã hóa cứng trong tệp web.config bằng một khóa mới, được tạo ngẫu nhiên và đảm bảo yếu tố mật mã, là duy nhất cho chính bản triển khai của bạn. Điều này vô hiệu hóa hoàn toàn lỗ hổng CVE-2026-5426 .aspx, đây là dấu hiệu mạnh mẽ của các nỗ lực khai thác ViewState. Sử dụng các công cụ Phát hiện và Phản hồi Điểm cuối (EDR) để quét máy chủ và mạng lưới nhằm tìm các Chỉ số Xâm nhập (IOC) liên quan đến web shell Godzilla hoặc Cobalt Strike Beacon Sự cố này như một lời nhắc nhở rõ ràng rằng các thiết lập bảo mật mặc định trong phần mềm bên thứ ba là vô cùng quan trọng. Một bí mật được chia sẻ duy nhất, được nhúng sẵn trong một sản phẩm được sử dụng rộng rãi, có thể trở thành chiếc chìa khóa vạn năng cho phép kẻ tấn công không chỉ xâm nhập máy chủ mà còn vũ khí hóa một ứng dụng đáng tin cậy để chống lại toàn bộ cơ sở người dùng của nó.