Google Mandiant 调查发现,Digital Knowledge 公司的 KnowledgeDeliver LMS 因内置了静态的 ASP.NET 机器密钥,攻击者无需认证即可通过伪造 ViewState 实现远程代码执行。 完整的攻击链条包括:利用 CVE 2026 5426 获得初始权限、部署 Godzilla(代号 BLUEBEAM)内存马长期驻留、篡改平台页面注入恶意脚本,最终诱骗用户下载执行 Cobalt Strike Beacon。

Create a landscape editorial hero image for this Studio Global article: What was the CVE-2026-5426 zero-day vulnerability in the KnowledgeDeliver LMS, how was it exploited by threat actors to deploy Cobalt Strike. Article summary: **CVE-2026-5426** is a critical zero-day vulnerability in **Digital Knowledge KnowledgeDeliver**, a Japanese Learning Management System (LMS) built on ASP.NET. The root cause is a **hard-coded ASP.NET/IIS `machineKey` va. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "# KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell. A newly disclosed zero-day vulnerability in the KnowledgeDeliver Learning Management System (LMS) has been a" source context "KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM ..." Reference image 2: visual subject "# New Knowledge Deliv
2025 年末,Google 旗下威胁情报团队 Mandiant 接手了一项看似普通的应急响应任务,最终却揭开了教科书式的多层攻击链。攻击目标直指 KnowledgeDeliver——一款在日本拥有广泛用户基础的 ASP.NET 学习管理系统(LMS)。事件的根源是一个看似不起眼的配置疏忽:开发方在分发给所有客户的软件中,内置了完全相同且写死的 ASP.NET machineKey 密钥 。
这一致命缺陷被追踪为 CVE-2026-5426,攻击者借此在面向互联网的服务器上获得了未经认证的远程代码执行权限。更为恶劣的是,他们并未止步于控制服务器,而是将这个受信任的教育平台改造成了一个“水坑”(watering hole),向所有访问该平台的用户投放臭名昭著的 Cobalt Strike Beacon 后门 。
CVE-2026-5426 之所以严重程度被评为高危(CVSS 7.5 分),源于其设计层面的根本性缺陷。在 ASP.NET 应用的 web.config 配置文件中,machineKey 元素本应是每个站点独一无二的、用于加密和验证 ViewState 及身份票证的机密字符串。然而,Digital Knowledge 在 KnowledgeDeliver 的标准部署包里,直接提供了一组静态的、包含验证密钥和解密密钥的默认值 。
这意味着,这把“钥匙”在所有客户中是通用的,并且硬编码在了代码中。一旦攻击者获取了这把公开的秘密,就能在本地伪造包含恶意序列化对象的 ViewState。当他们向服务器的任意 .aspx 页面发送这个精心构造的 POST 请求时,ASP.NET 的防篡改机制会认定该 ViewState 合法有效,并执行反序列化操作,从而在底层 IIS 服务器上实现远程代码执行,整个过程无需任何登录凭证 。
Mandiant 记录的此次入侵并非简单的单点攻破,而是一套环环相扣的精密组合拳 。
攻击者通过扫描,锁定了一个暴露在公网的 KnowledgeDeliver 登录页面。随后,他们发送了一个带有恶意 ViewState 的 POST 数据包。由于硬编码密钥的存在,攻击者伪造的凭据直接通过了服务器的验证。ViewState 反序列化后,攻击者即刻在 IIS 工作进程中执行了代码,悄无声息地攻下了第一座城池 。
为了持久化控制,攻击者部署了一款名为 Godzilla 的 .NET 内存马(Mandiant 内部代号为 BLUEBEAM)。这款工具完全驻留在服务器内存中,没有在服务器磁盘上留下恶意的 .aspx 文件。这使得仅依靠文件扫描的传统安全检测手段难以发现异常,攻击者得以长期执行命令、上传文件 。
在建立稳定的命令通道后,攻击者使用 Godzilla 内存马修改了 LMS 平台提供的 JavaScript 文件。他们在正常网页中注入了一个远程脚本,使得访问 LMS 的最终用户会看到虚假的安全提示弹窗。这一步“社会工程学”变招,将单纯的服务器漏洞转化为对所有平台使用者的直接威胁 。
被篡改的页面提示受害者下载一个必要的“安全插件”或“安装程序”。实际上,这个下载回来的文件正是高度隐蔽的 Cobalt Strike Beacon 载荷。该后门与攻击者的指挥与控制(C2)服务器建立了持久连接,完全接管了受害者的工作站。值得注意的是,Mandiant 发现,此处的恶意载荷文件竟然使用了受害者所在组织的名称作为加密密钥,这强烈暗示攻击者在发起攻击前,已经针对特定目标定制好了专门的载荷 。
根据漏洞原理及攻击链分析,Mandiant 向所有受影响的 KnowledgeDeliver 用户给出了以下修复与排查行动建议 :
machineKey:这是最核心的补救措施。请立即在 web.config 文件中,将硬编码的静态密钥替换为通过加密随机数生成器生成的、仅在您当前部署中使用的唯一密钥,以彻底消除 CVE-2026-5426 的利用基础 .aspx 页面的异常 POST 请求,这是一个非常强烈的 ViewState 攻击信号。利用 EDR(终端检测与响应)工具,扫描服务器和内部网络,排查是否有 Godzilla 内存马或 Cobalt Strike Beacon 相关的失陷指标(IOCs) w3wp.exe)启动的可疑子进程。这一事件再次敲响警钟:第三方软件的默认安全配置至关重要。一个“写死”在广泛部署的应用里的共享密钥,就能成为攻击者手中的万能钥匙,不仅入侵服务器本身,更将受信任的软件变成攻击下游用户生态链的武器。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Google Mandiant 调查发现,Digital Knowledge 公司的 KnowledgeDeliver LMS 因内置了静态的 ASP.NET 机器密钥,攻击者无需认证即可通过伪造 ViewState 实现远程代码执行。
Google Mandiant 调查发现,Digital Knowledge 公司的 KnowledgeDeliver LMS 因内置了静态的 ASP.NET 机器密钥,攻击者无需认证即可通过伪造 ViewState 实现远程代码执行。 完整的攻击链条包括:利用 CVE 2026 5426 获得初始权限、部署 Godzilla(代号 BLUEBEAM)内存马长期驻留、篡改平台页面注入恶意脚本,最终诱骗用户下载执行 Cobalt Strike Beacon。
所有使用 2026 年 2 月 24 日之前版本的 KnowledgeDeliver 机构均面临风险,Mandiant 已将更换唯一密钥列为首要修复措施。