Mandiant 發現 Digital Knowledge 嘅 KnowledgeDeliver LMS 出廠時用咗一個寫死嘅 ASP.NET machineKey,令未經認證嘅攻擊者可以透過 ViewState 反序列化攻擊遙距執行任意代碼 [1][2]。 整個攻擊鏈包括:利用 CVE 2026 5426 漏洞獲得初始存取權、部署 Godzilla(又稱 BLUEBEAM)記憶體內網頁殼層建立持久連線、篡改 LMS 平台注入惡意腳本,最後以虛假安全警報誘騙用戶下載 Cobalt Strike Beacon 後門程式 [2][4][5]。

Create a landscape editorial hero image for this Studio Global article: What was the CVE-2026-5426 zero-day vulnerability in the KnowledgeDeliver LMS, how was it exploited by threat actors to deploy Cobalt Strike. Article summary: **CVE-2026-5426** is a critical zero-day vulnerability in **Digital Knowledge KnowledgeDeliver**, a Japanese Learning Management System (LMS) built on ASP.NET. The root cause is a **hard-coded ASP.NET/IIS `machineKey` va. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "# KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell. A newly disclosed zero-day vulnerability in the KnowledgeDeliver Learning Management System (LMS) has been a" source context "KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM ..." Reference image 2: visual subject "# New Knowledge Deliv
2025 年底,Google 旗下嘅網絡安全團隊 Mandiant 喺一次事件回應調查中,發現咗一個教科書級別嘅供應鏈攻擊案例。今次出事嘅主角,係日本好流行嘅學習管理系統(LMS)——由 Digital Knowledge 開發嘅 KnowledgeDeliver。成件事嘅根源,竟然只係因為一個寫死咗嘅 ASP.NET 金鑰,就引發咗災難性嘅多階段入侵。呢個被追蹤為 CVE-2026-5426 嘅嚴重漏洞,令到匿名黑客可以喺無需登入嘅情況下,直接喺對外開放嘅 LMS 伺服器上執行任意代碼 。佢哋唔單止控制咗伺服器,仲將呢個受到信任嘅教育平台,變成咗一個「水坑攻擊」嘅陷阱,最終向所有瀏覽網站嘅訪客電腦,植入 Cobalt Strike Beacon 後門程式
。
CVE-2026-5426 嘅嚴重性,源自一個根本嘅設計缺陷。喺 ASP.NET 應用程式嘅 web.config 設定檔入面,machineKey 元素理應係一個獨一無二、加密強度足夠嘅秘密金鑰,用嚟加密同驗證 ViewState 同表單驗證憑據等敏感資料。但 Digital Knowledge 竟然喺出廠嘅標準設定檔入面,為每一個 KnowledgeDeliver 客戶都配置咗同一個寫死咗嘅靜態 machineKey(包括 validationKey 同 decryptionKey)。
由於呢條金鑰喺所有部署中都一模一樣,而且係硬編碼嘅,佢好快就變成一個眾所周知嘅公開秘密。攻擊者只要攞到呢條金鑰,就可以偽造一個惡意嘅、經序列化嘅 ViewState 酬載。只要將呢個酬載放入 POST 請求發送去任何一個 .aspx 頁面,就可以繞過 ASP.NET 嘅防篡改機制。伺服器會將偽造嘅 ViewState 當成合法請求,並對其進行反序列化,令攻擊者可以喺無需任何驗證嘅情況下,喺底層嘅 IIS 網頁伺服器上執行任意代碼 。美國國家漏洞數據庫(NVD)為呢個漏洞評咗 7.5 分(高危),反映咗未經認證嘅攻擊者透過網絡利用此漏洞嘅難度極低
。
Mandiant 嘅調查記錄咗一次精密嘅多階段攻擊,將平台本身變成咗攻擊自己用戶嘅武器 。
攻擊者首先喺互聯網上搵到一個公開曝露嘅 KnowledgeDeliver 登入頁面,然後向佢發送一個精心製作嘅 HTTP POST 請求。呢個請求嘅主體包含咗一個利用已知嘅寫死金鑰偽造出嚟嘅惡意 ViewState。一旦伺服器對其進行反序列化,酬載就會以 IIS 工作處理程序嘅權限執行代碼,為攻擊者提供咗一個未經認證嘅初始落腳點 。
為咗保持長期存取權限,攻擊者部署咗一個名為 Godzilla(Mandiant 內部追蹤代號為 BLUEBEAM)嘅記憶體內網頁殼層。呢個基於 .NET 嘅工具容許黑客執行命令、上傳檔案同管理已入侵嘅伺服器,而且唔會喺磁碟上留低惡意嘅 .aspx 檔案,令到單純靠檔案掃描嘅偵測方式難以發現 。
建立咗持久嘅命令管道之後,攻擊者利用網頁殼層修改 LMS 平台提供嘅 JavaScript 檔案。佢哋注入咗一個遠端腳本,向瀏覽已入侵網站嘅用戶顯示虛假嘅安全警報或提示。呢個社會工程學嘅環節係關鍵嘅轉折點,將伺服器入侵轉化成對每位使用平台嘅學生或員工嘅直接威脅 。
注入嘅腳本會引導受害者下載一個睇起嚟好似必要嘅插件或者安裝程式。但實際上,下載落嚟嘅檔案係一個 Cobalt Strike Beacon 酬載。呢個功能強大嘅後門程式會建立一條通往攻擊者指揮與控制基礎設施嘅持久連線,畀黑客完全遙距控制受害者嘅電腦。Mandiant 特別提到,該酬載檔案係用受害組織嘅名義作為加密金鑰,強烈暗示攻擊者係有針對性地為預定目標準備酬載 。
根據佢哋嘅分析,Mandiant 為受影響嘅 KnowledgeDeliver 用戶制定咗即時同長期嘅防禦行動指南 :
machineKey:最關鍵嘅一步係立即更換 web.config 設定檔入面寫死嘅 machineKey,用一個新生成、加密安全嘅隨機金鑰取代,並確保佢喺你嘅部署環境中係獨一無二嘅。咁做先可以從根本上消除 CVE-2026-5426 漏洞嘅核心風險 .aspx 頁面,呢個係 ViewState 漏洞利用嘗試嘅強烈跡象。同時用端點偵測與回應(EDR)工具掃描伺服器同網絡,搵出同 Godzilla 網頁殼層或 Cobalt Strike Beacon 相關嘅入侵指標(IOCs)呢次事件係一個赤裸裸嘅警示,提醒我哋第三方軟件嘅安全預設值有幾咁重要。一個共享嘅秘密,一旦嵌入到廣泛使用嘅產品入面,就可以成為攻擊者嘅「萬能鑰匙」,唔單止可以入侵伺服器,仲可以將一個受信任嘅應用程式,變成攻擊成個用戶群體嘅武器。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Mandiant 發現 Digital Knowledge 嘅 KnowledgeDeliver LMS 出廠時用咗一個寫死嘅 ASP.NET machineKey,令未經認證嘅攻擊者可以透過 ViewState 反序列化攻擊遙距執行任意代碼 [1][2]。
Mandiant 發現 Digital Knowledge 嘅 KnowledgeDeliver LMS 出廠時用咗一個寫死嘅 ASP.NET machineKey,令未經認證嘅攻擊者可以透過 ViewState 反序列化攻擊遙距執行任意代碼 [1][2]。 整個攻擊鏈包括:利用 CVE 2026 5426 漏洞獲得初始存取權、部署 Godzilla(又稱 BLUEBEAM)記憶體內網頁殼層建立持久連線、篡改 LMS 平台注入惡意腳本,最後以虛假安全警報誘騙用戶下載 Cobalt Strike Beacon 後門程式 [2][4][5]。
所有喺 2026 年 2 月 24 號之前部署,仲用緊廠商預設設定嘅 KnowledgeDeliver 伺服器都存在風險,必須立即更換唯一嘅 machineKey [1][5][14]。