Một lỗ hổng bảo mật nghiêm trọng trong hệ thống quản lý học tập (LMS) KnowledgeDeliver, phổ biến tại Nhật Bản, đã bị khai thác dưới dạng zero-day để triển khai web shell Godzilla và sau đó là Cobalt Strike Beacon.
Lỗ hổng KnowledgeDeliver LMS bị khai thác để cài đặt Godzilla và Cobalt Strike
Một lỗ hổng bảo mật nghiêm trọng trong hệ thống quản lý học tập (LMS) KnowledgeDeliver của Digital Knowledge, vốn phổ biến tại Nhật Bản, đã bị khai thác dưới dạng zero-day. Kẻ tấn công đã sử dụng lỗ hổng này để cài đặt web shell Godzilla và cuối cùng là triển khai Cobalt Strike Beacon.
Lỗ hổng này, được định danh **CVE-2026-5426** (điểm CVSS: 7.5), xuất phát từ việc sử dụng các khóa máy (machine keys) ASP.NET được mã hóa cứng. Điều này dẫn đến khả năng thực thi mã từ xa không cần xác thực thông qua tấn công ViewState deserialization. Việc các tác nhân đe dọa lạm dụng các khóa máy ASP.NET được công bố công khai đã được Microsoft ghi nhận lần đầu vào tháng 2 năm 2025.
Các nhà nghiên cứu từ Google Mandiant và Google Threat Intelligence Group (GTIG) cho biết: “Một tác nhân đe dọa không xác định đã lợi dụng quyền truy cập này để chèn mã độc vào nền tảng LMS, với mục tiêu lây nhiễm cho người dùng truy cập trang web.”
Lỗ hổng bảo mật này ảnh hưởng đến các triển khai Digital Knowledge KnowledgeDeliver trước ngày 24 tháng 2 năm 2026. Đáng chú ý, các lỗ hổng tương tự trong Sitecore Experience Manager (XM), Gladinet CentreStack và TrioFox cũng đã từng bị các tác nhân đe dọa khai thác.
Vấn đề nằm ở chỗ các cài đặt KnowledgeDeliver dựa vào một tệp web.config tiêu chuẩn do nhà cung cấp cung cấp, chứa các giá trị machineKey được mã hóa cứng. Các khóa này được framework ASP.NET sử dụng để mã hóa và ký dữ liệu, bao gồm cả các payload ViewState.
Do đó, một tác nhân đe dọa nếu có thể lấy được các khóa từ một triển khai có thể sử dụng chúng để xâm nhập các phiên bản KnowledgeDeliver khác đang kết nối internet.
Google giải thích: “ASP.NET ViewState duy trì trạng thái trang qua các lần postback. Khi machineKey được biết, một tác nhân đe dọa có thể tạo ra một payload ViewState độc hại. Bằng cách gửi payload này trong một yêu cầu HTTP (thông qua tham số __VIEWSTATE), tác nhân đe dọa có thể khiến server thực hiện deserialization.”
Trong các hoạt động liên quan đến CVE-2026-5426 được ghi nhận, kẻ tấn công đã triển khai web shell Godzilla (còn gọi là BLUEBEAM), cho phép chúng chạy các lệnh hoặc thả thêm các payload khác.
Trong số các lệnh được thực thi có hướng dẫn để leo thang kiểm soát hệ thống tệp của web server bằng cách cấp cho “Everyone” quyền truy cập hoàn toàn vào thư mục ứng dụng web. Sau đó, tác nhân đe dọa đã sửa đổi một tệp JavaScript của ứng dụng để chèn mã hiển thị cảnh báo bảo mật giả mạo, kêu gọi người dùng cài đặt một “plugin xác thực bảo mật.”
Đồng thời, những sửa đổi trái phép này cũng cho phép tải ngầm một script độc hại được lưu trữ trên một tên miền do kẻ tấn công kiểm soát. Script này sau đó đã lừa người dùng tải xuống một trình cài đặt giả mạo, cuối cùng lây nhiễm Cobalt Strike Beacon vào các máy tính.
Google cho biết: “Payload được mã hóa bằng một khóa sử dụng tên của tổ chức bị xâm phạm, cho thấy tác nhân đe dọa đã chuẩn bị payload này đặc biệt cho tổ chức mục tiêu.”
Việc khai thác KnowledgeDeliver nhấn mạnh những rủi ro nghiêm trọng khi sử dụng các bí mật dùng chung trong các mẫu triển khai. Một khóa bị rò rỉ có thể làm tổn hại toàn bộ hệ sinh thái các cài đặt. Bằng cách triển khai các bí mật duy nhất và giám sát điểm cuối mạnh mẽ, các tổ chức có thể tự bảo vệ mình khỏi các cuộc tấn công deserialization này.
Nguồn tham khảo: The Hacker News
