An ninh mạng

Lỗ hổng trong KnowledgeDeliver LMS bị khai thác để phát tán Godzilla và Cobalt Strike

Một lỗ hổng bảo mật nghiêm trọng trong hệ thống quản lý học tập KnowledgeDeliver đã bị khai thác dưới dạng zero-day để cài đặt web shell Godzilla và triển khai mã độc Cobalt...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
4 0

Các chuyên gia từ Google Mandiant và Google Threat Intelligence Group (GTIG) vừa cảnh báo về một lỗ hổng bảo mật nghiêm trọng (định danh CVE-2026-5426, điểm CVSS 7.5) trong hệ thống quản lý học tập (LMS) KnowledgeDeliver của Digital Knowledge. Lỗ hổng này đã bị tin tặc khai thác như một zero-day để chiếm quyền điều khiển server và phát tán mã độc.

Table Of Content

Nguyên nhân từ việc sử dụng khóa tĩnh (Hard-coded keys)

Vấn đề cốt lõi nằm ở việc các bản cài đặt KnowledgeDeliver sử dụng tệp web.config tiêu chuẩn do nhà cung cấp cung cấp, trong đó chứa các giá trị machineKey được mã hóa cứng (hard-coded). Trong framework ASP.NET, các khóa này được dùng để mã hóa và ký dữ liệu, bao gồm cả các payload ViewState.

Khi kẻ tấn công có được các khóa này từ một bản cài đặt, chúng có thể dễ dàng tạo ra các payload ViewState độc hại. Bằng cách gửi payload này thông qua tham số __VIEWSTATE trong yêu cầu HTTP, kẻ tấn công có thể buộc server thực hiện giải mã hóa (deserialization) không an toàn, dẫn đến thực thi mã từ xa (RCE) mà không cần xác thực.

Chuỗi tấn công: Từ Web Shell đến Cobalt Strike

Sau khi khai thác thành công, tin tặc đã triển khai Godzilla (còn gọi là BLUEBEAM) – một loại web shell mạnh mẽ cho phép thực thi lệnh và tải thêm các payload khác. Các hành vi ghi nhận bao gồm:

  • Thay đổi quyền truy cập hệ thống tệp trên server, cho phép người dùng “Everyone” có toàn quyền kiểm soát thư mục ứng dụng web.
  • Chỉnh sửa tệp JavaScript của ứng dụng để hiển thị thông báo giả mạo, lừa người dùng cài đặt một “plugin xác thực bảo mật”.
  • Tải xuống các tập lệnh độc hại từ domain do kẻ tấn công kiểm soát, từ đó lây nhiễm Cobalt Strike Beacon vào máy tính của người dùng truy cập trang web.

Đáng chú ý, các payload này được mã hóa bằng khóa riêng biệt dựa trên tên của tổ chức bị tấn công, cho thấy chiến dịch này được chuẩn bị rất kỹ lưỡng cho từng mục tiêu cụ thể.

Khuyến nghị bảo mật

Sự cố này một lần nữa nhấn mạnh rủi ro nghiêm trọng khi sử dụng các khóa bí mật dùng chung trong các template triển khai phần mềm. Việc lộ một khóa duy nhất có thể gây nguy hiểm cho toàn bộ hệ sinh thái các bản cài đặt. Các tổ chức được khuyến cáo nên sử dụng các khóa bí mật duy nhất cho mỗi môi trường và tăng cường giám sát endpoint để phát hiện sớm các hành vi khai thác lỗ hổng deserialization.

Lỗ hổng này đã được nhà phát hành tung ra bản patch vào ngày 24/02/2026. Người dùng KnowledgeDeliver cần đảm bảo hệ thống của mình đã được cập nhật lên phiên bản mới nhất.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept