Krytyczna luka w KnowledgeDeliver LMS wykorzystana do wdrożenia Godzilla i Cobalt Strike - Security Bez Tabu

Krytyczna luka w KnowledgeDeliver LMS wykorzystana do wdrożenia Godzilla i Cobalt Strike

Cybersecurity news

Wprowadzenie do problemu / definicja

W platformie KnowledgeDeliver, czyli systemie LMS rozwijanym przez Digital Knowledge i szeroko stosowanym na rynku japońskim, ujawniono krytyczną podatność umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia. Luka została oznaczona jako CVE-2026-5426 i wynikała z użycia statycznie osadzonych kluczy machineKey w konfiguracji ASP.NET, co otwierało drogę do przygotowania złośliwego ładunku ViewState i wykonania kodu po stronie serwera.

W skrócie

Podatność była wykorzystywana jako zero-day jeszcze przed publikacją poprawki. Atakujący używali jej do instalacji web shella Godzilla, modyfikacji plików aplikacji, wyświetlania fałszywych komunikatów bezpieczeństwa oraz dostarczania złośliwego instalatora prowadzącego do uruchomienia Cobalt Strike Beacon na urządzeniach użytkowników.

  • Luka pozwalała na zdalne wykonanie kodu bez logowania.
  • Źródłem problemu były współdzielone klucze kryptograficzne w konfiguracji ASP.NET.
  • Kompromitacja serwera LMS mogła prowadzić do infekcji stacji roboczych odwiedzających legalny portal.
  • Zagrożone były publicznie dostępne wdrożenia sprzed 24 lutego 2026 r.

Kontekst / historia

Mechanizm ViewState w ASP.NET od wielu lat pozostaje celem analiz bezpieczeństwa, zwłaszcza gdy aplikacje korzystają z przewidywalnych lub współdzielonych kluczy kryptograficznych. W przypadku KnowledgeDeliver problem wynikał z dostarczanej przez producenta konfiguracji web.config, zawierającej identyczne wartości machineKey w wielu instalacjach.

Taka praktyka znacząco zwiększa skalę ryzyka. Jeśli atakujący pozna sekret wykorzystywany w jednym środowisku, może potencjalnie przygotować poprawnie podpisany ładunek również dla innych instancji wystawionych do Internetu. To klasyczny przykład, jak błąd konfiguracyjny może przełożyć się na podatność o bardzo szerokim zasięgu.

Analiza techniczna

Klucze machineKey w aplikacjach ASP.NET odpowiadają za podpisywanie i szyfrowanie danych, w tym mechanizmu ViewState. Jeżeli napastnik zna prawidłowe wartości, może wygenerować spreparowaną zawartość parametru __VIEWSTATE, którą serwer uzna za legalną. W podatnych scenariuszach prowadzi to do deserializacji niebezpiecznych danych i ostatecznie do wykonania dowolnego kodu.

W obserwowanych incydentach po uzyskaniu wykonania kodu atakujący wdrażali web shell Godzilla, znany również jako BLUEBEAM. Taki implant pozwala na utrzymanie trwałego dostępu, wykonywanie poleceń systemowych, przesyłanie dodatkowych plików oraz dalszą rozbudowę łańcucha ataku.

Następnie modyfikowano uprawnienia do katalogów aplikacji, rozszerzając dostęp dla grupy Everyone. Ułatwiało to kolejne zmiany w plikach webowych, w tym w zasobach JavaScript, które wykorzystywano do wyświetlania fałszywych komunikatów bezpieczeństwa. Użytkownik odwiedzający przejęty portal mógł zostać nakłoniony do pobrania rzekomej wtyczki uwierzytelniającej.

Ostatnim etapem kampanii było uruchomienie złośliwego instalatora kończącego się wdrożeniem Cobalt Strike Beacon na stacji roboczej ofiary. Tym samym atak wychodził poza warstwę serwera aplikacyjnego i obejmował urządzenia końcowe użytkowników korzystających z legalnej, lecz skompromitowanej platformy LMS.

Konsekwencje / ryzyko

Skutki CVE-2026-5426 wykraczają daleko poza pojedyncze przejęcie aplikacji webowej. Współdzielone sekrety w wielu wdrożeniach tworzą efekt skali, w którym kompromitacja jednego środowiska może pomóc w ataku na kolejne instancje korzystające z tej samej konfiguracji.

Dla organizacji oznacza to ryzyko utraty integralności treści publikowanych w LMS, wykorzystania platformy jako narzędzia do ataków typu watering hole oraz infekcji punktów końcowych malware klasy post-exploitation. Po wdrożeniu Cobalt Strike Beacon napastnik może prowadzić ruch boczny, eskalować uprawnienia, kraść dane i utrwalać dostęp w całej infrastrukturze.

  • Przejęcie serwera LMS i modyfikacja treści widocznych dla użytkowników.
  • Dystrybucja malware przez zaufany portal organizacji.
  • Kompromitacja stacji roboczych użytkowników końcowych.
  • Możliwość dalszej eskalacji incydentu do poziomu naruszenia całego środowiska.

Rekomendacje

Organizacje korzystające z KnowledgeDeliver powinny niezwłocznie potwierdzić wdrożenie wersji zawierającej poprawkę opublikowaną po 24 lutego 2026 r. Sama aktualizacja nie wystarcza jednak do zamknięcia incydentu, ponieważ luka była wykorzystywana aktywnie jeszcze przed udostępnieniem łaty.

W praktyce konieczne jest przeprowadzenie pełnego dochodzenia powłamaniowego, obejmującego analizę konfiguracji, logów, integralności plików i śladów aktywności po stronie serwera oraz endpointów.

  • Zweryfikować unikalność kluczy machineKey w każdej instancji.
  • Przeanalizować logi IIS pod kątem nietypowych żądań zawierających rozbudowane wartości __VIEWSTATE.
  • Sprawdzić integralność plików aplikacyjnych, szczególnie skryptów JavaScript i zasobów statycznych.
  • Wyszukać artefakty Godzilla, podejrzane pliki ASPX, DLL i skrypty pomocnicze.
  • Skontrolować zmiany uprawnień NTFS w katalogach aplikacji.
  • Monitorować ruch sieciowy i telemetrię EDR pod kątem wzorców charakterystycznych dla Cobalt Strike.

Długofalowo warto wdrożyć centralne zarządzanie sekretami, monitorowanie integralności aplikacji, ograniczenie uprawnień kont usługowych oraz segmentację środowisk. Istotne jest również szkolenie użytkowników, aby potrafili rozpoznawać fałszywe komunikaty bezpieczeństwa i nieautoryzowane instalatory.

Podsumowanie

CVE-2026-5426 pokazuje, jak niebezpieczne mogą być pozornie techniczne błędy konfiguracyjne związane ze współdzielonymi sekretami w aplikacjach ASP.NET. W przypadku KnowledgeDeliver luka umożliwiła nie tylko zdalne wykonanie kodu i wdrożenie web shella Godzilla, ale również przekształcenie legalnej platformy LMS w narzędzie dystrybucji Cobalt Strike Beacon do użytkowników końcowych.

To ważne ostrzeżenie dla zespołów bezpieczeństwa: ochrona aplikacji internetowych nie kończy się na łataniu oprogramowania. Równie istotne są unikalne sekrety dla każdej instancji, stałe monitorowanie integralności plików oraz gotowość do szybkiego wykrywania objawów kompromitacji zarówno po stronie serwera, jak i urządzeń końcowych.

Źródła

  1. KnowledgeDeliver LMS Flaw Exploited to Deploy Godzilla and Cobalt Strike — https://thehackernews.com/2026/05/knowledgedeliver-lms-flaw-exploited-to.html
  2. CVE-2026-5426 — NVD — https://nvd.nist.gov/vuln/detail/CVE-2026-5426
  3. Google Cloud Blog / Mandiant — analiza kampanii związanej z CVE-2026-5426 — https://cloud.google.com/
  4. Digital Knowledge — KnowledgeDeliver — https://www.digital-knowledge.co.jp/