ハッカーがKnowledgeDeliver LMS の脆弱性を悪用してBLUEBEAM Web Shellをインストール

ハッカーはKnowledgeDeliver ラーニングマネジメントシステム(LMS)の重大な脆弱性を積極的に悪用してBLUEBEAM Web Shellをデプロイしており、Mandiant のGoogle Threat Intelligence Groupの調査結果によると述べられています。

CVE-2026-5426として追跡されているこの脆弱性は、ASP.NET ViewStateのデシリアライゼーションを通じた認証なしのリモートコード実行を可能にしており、実際の攻撃で観察されています。

KnowledgeDeliver LMS の脆弱性

この脆弱性は、2026年2月24日より前にデプロイされたKnowledgeDeliver インストールに影響を与え、ハードコードされたASP.NET machineKeyの値を含む標準化された構成に依存していました。

これらのキーはViewStateデータを保護するために使用され、リクエスト全体でアプリケーション状態を維持します。同一のキーが複数の環境で再利用されていたため、攻撃者は既知のキーを再利用して公開されているインスタンスをターゲットにすることができます。

悪意のあるViewStateペイロードを作成し、__VIEWSTATEパラメータを通じて配信することで、脅威アクターはサーバー上でデシリアライゼーションをトリガーして任意のコードを実行できます。

Mandiantは、この手法はSitecoreをターゲットにしたものを含む以前のViewStateデシリアライゼーション攻撃、および公開されたASP.NETマシンキーを含むキャンペーンに密接に似ていることに注意しました。これはエンタープライズアプリケーション内の共有暗号シークレットに関連するより広いリスクを強化します。

悪用に成功した後、攻撃者はBLUEBEAM(Godzillaとしても知られている).NETベースのインメモリ Webシェルをデプロイしました。マルウェアはIISワーカープロセス(w3wp.exe)内で動作し、攻撃者は暗号化されたHTTP POSTリクエストを通じてリモートでコマンドを実行できます。

ディスク上ではなくメモリに常駐しているため、BLUEBEAMは従来のファイルベースのセキュリティツールを使用して検出するのが著しく難しくなっています。

搾取後のアクティビティには、icaclsを使用してファイルのアクセス権限を変更してWebディレクトリへの完全なアクセスを許可することや、アプリケーション内のJavaScriptファイルへの改ざんが含まれていました。

攻撃者は悪意のあるコードを注入し、ユーザーに不正な認証プラグインのインストールを促す偽のセキュリティアラートを表示しながら、攻撃者のインフラから外部スクリプトをサイレントに読み込みました。

場合によっては、偽のプラグインをインストールした被害者は、ターゲット組織に合わせたペイロードを使用したCobalt Strike BEACONバックドアに感染しました。

このようなアクティビティを検出するには、組織はWindowsアプリケーションログでイベントID 1316を監視する必要があります。これはViewState検証の失敗または悪用の試みを示す可能性があります。

セキュリティチームはまた、w3wp.exeによってスポーンされた疑わしいプロセス、Webアプリケーションファイルへの予期しない変更、および複数のブラウザシグネチャを単一のリクエストで組み合わせた異常なUser-Agentストリングを探す必要があります。

リスクを軽減するために、組織はASP.NETマシンキーを直ちにローテーションし、各デプロイが一意の暗号化的に安全な値を使用することを強く推奨されています。信頼できるIP範囲へのアクセスを制限し、ファイルインテグリティ監視を実装し、徹底的な脅威ハンティングを実施することで、露出をさらに減らすことができます。

このキャンペーンは、アプリケーションデプロイメントで共有シークレットを使用することの重大なセキュリティリスクを強調しています。単一の公開されたキーは、複数の組織全体での広範な侵害を可能にする可能性があり、安全な設定慣行と継続的な監視の必要性を強調しています。

侵害の指標(IOCs)

Google News、LinkedIn、およびXでフォローして最新情報を取得し、GoogleでGBHをお気に入りソースとして設定してください。