脅威アクターがKnowledgeDeliverのゼロデイ脆弱性を悪用してWebシェルとバックドアを展開したとGoogle傘下のMandiantが報告しています。
Digital Knowledgeによって構築された学習管理システム(LMS)であるKnowledgeDeliverは、主に日本で企業および教育向けのeラーニング向けに広く使用されています。
CVE-2026-5426として追跡されている悪用されたゼロデイ(CVSSスコア7.5)は、Digital Knowledgeのデプロイメントがハードコードされた’machineKey’値を含む標準化された’web.config’ファイルを使用していたために存在していました。これらのキーはASP.NETフレームワークによってデータの暗号化と署名に使用されます。
独立したインストール全体でハードコードされた値が存在したため、キーの知識を持つ脅威アクターはViewState逆シリアル化攻撃をマウントして他のデプロイメントを侵害することができました。
「ASP.NET ViewStateはポストバック全体でページの状態を保持します。machineKeyが既知の場合、脅威アクターは悪意のあるViewStateペイロードを作成できます。このペイロードをHTTPリクエストで送信することにより、脅威アクターはサーバーにそれを逆シリアル化させることができます」とMandiantは説明しています。
このタイプの攻撃は新しいものではなく、Sitecore インスタンスの悪用およびCentreStackデプロイメントの悪用、ならびにGodzillaエクスプロイト後フレームワークに関する攻撃で以前に見られました。
KnowledgeDeliverのゼロデイ悪用はまた、Godzilla Webシェル(Bluebeamとも呼ばれる)の展開につながったとMandiantは述べています。メモリに展開されたこのマルウェアにより、脅威アクターは感染したマシンで追加のコマンドとペイロードを実行できます。
攻撃者はGodzillaを使用して、Webアプリケーション ディレクトリへのアクセス許可を変更し、アプリケーション JavaScriptファイルを変更して悪意のあるスクリプトをロードし、ユーザーに偽のプラグインをインストールするよう求める偽のセキュリティアラートを表示しました。
最終的に、システムはCobalt Strike バックドアに感染しました。ペイロードが被害者組織の名前を含むキーで暗号化されていたため、Mandiantはバックドアがその組織のために特別に準備されたと考えています。
Mandiantは攻撃に関連した侵害のインジケータ(IoC)を提供し、組織は潜在的な侵入について環境を監視することを推奨しています。また、組織はインスタンスのマシンキーをローテーションし、LMSへのアクセスを制限するよう勧告されています。
2026年2月24日より前のすべてのKnowledgeDeliverデプロイメントはゼロデイの影響を受け、悪用のリスクがある可能性があります。
翻訳元: https://www.securityweek.com/hackers-exploited-knowledgedeliver-zero-day-for-web-shell-deployment/
