Mandiantが公開したインシデント対応報告書によると、KnowledgeDeliverラーニング管理システムで新たに開示されたゼロデイ脆弱性が、BLUEBEAMインメモリWebシェルを展開するために実際の攻撃で積極的に悪用されていることが明らかになった。
この脆弱性はCVE-2026-5426として追跡されており、未認証のリモートコード実行を可能にし、2026年2月24日以前にデフォルトのASP.NET構成設定を使用していたすべての展開環境に影響を与える。
日本のDigital Knowledgeが開発したKnowledgeDeliverは、日本全国の企業および教育機関で広く利用されている。
Mandiantによる2025年末の侵害調査では、その根本原因として不安全な暗号化の実装が特定された。具体的には、ASP.NETがViewStateペイロードを含むデータの暗号化と検証に使用する暗号鍵であるmachineKeyがハードコードされた標準のweb.configファイルが同梱されていた。
これらの鍵はすべての顧客環境で同一であったため、一つのインスタンスから鍵を入手した攻撃者は、追加の認証なしにインターネットに公開された他のすべてのKnowledgeDeliverサーバーを悪用できる状態にあった。
ASP.NETのViewStateメカニズムはHTTPポストバック間でUIの状態を保持するが、machineKeyが判明している場合、攻撃者は悪意を持ったシリアル化されたViewStateペイロードを細工し、__VIEWSTATE HTTPパラメータ経由で送信できると、Mandiantは説明している。
サーバーはそれをデシリアライズし、任意のコード実行が引き起こされる。これはMandiantが以前Sitecoreに対して報告したViewStateデシリアライゼーションゼロデイと同じ悪用パターンに従っており、公開されたASP.NETマシンキーが実際の攻撃で悪用されているとするMicrosoftの2025年2月の開示とも類似している。
初期アクセスを確立した後、脅威アクターは持続性の確保と影響範囲の拡大を優先した。
主要な侵害後ツールはBLUEBEAMであり、Godzillaとも呼ばれる.NETベースのインメモリWebシェルで、IISワーカープロセス(w3wp.exe)内で完全に動作する。
ディスクへの書き込みが一切行われないため、従来のファイルベースのウイルス対策やEDRスキャンでは完全に見逃されることが多い。BLUEBEAMは暗号化されたHTTP POSTリクエストボディを通じて攻撃者と通信し、ステルス性の高いコマンド実行とさらなるペイロードの配信を可能にする。
持続性の確立に加え、攻撃者はicaclsを使用してWebアプリケーションディレクトリへの「全員」フルアクセス権限を付与し、LMSが読み込むJavaScriptファイルを改ざんした。
この改ざんされたスクリプトは、サイト訪問者に「セキュリティ認証プラグイン」のインストールを促す説得力のある偽のセキュリティ警告を表示すると同時に、攻撃者が管理するドメインにホストされたリモートの悪意あるスクリプトを密かに読み込んだ。
指示に従った訪問者は偽のインストーラーをダウンロードし、ワークステーションがCobalt Strike BEACONバックドアに感染した。
特筆すべきは、ペイロードが侵害された組織名から派生した鍵で暗号化されていたことであり、この攻撃が日和見的なキャンペーンではなく、このターゲットに特化して仕立てられたものであることを裏付けている。
防御担当者はいくつかの方法で悪用の試みや活発な侵害を特定できる。WindowsアプリケーションイベントID 1316は特に有用であり、イベントコード4009を伴う整合性エラーは、誤った鍵による攻撃の試みを示している可能性がある。
一方、「無効なViewState」という結果は整合性チェックが通過し、デシリアライゼーションが試みられたことを示す。Mandiantはこれを確認したうえで、サーバー自身のマシンキーを使用してイベントログのペイロード文字列を復号化し、BLUEBEAMのアーティファクトを回収している。
w3wp.exeが生成したcmd.exe、whoami、powershell.exeなどの不審な子プロセスは、侵害後の活動を示す強力な指標である。
防御担当者はまた、Webルート内の.js、.aspx、.configファイルへの不正な変更を監視し、以前のViewState悪用キャンペーンと一致する異常な連結User-Agent文字列についてHTTPアクセスログを確認する必要がある。
影響を受けた組織は、各KnowledgeDeliver展開環境に対して一意で暗号的に強固なmachineKeyを直ちに生成すべきである。これがすべてのインスタンス間で共有シークレットを無効化する唯一の確実な方法である。
運用上可能な場合は、LMSへのアクセスを既知の組織のIPレンジに制限すべきである。上記の指標の兆候が見られる環境では、修復を行う前に完全なフォレンジック調査が必要である。
KnowledgeDeliverのインシデントは、セキュアな展開アーキテクチャにおける長年の原則を改めて強調している。ベンダーのテンプレートに含まれる共有シークレットは、システム全体にリスクをもたらす。
一つのmachineKeyが漏洩するだけで、顧客エコシステム全体に対するマスターキーとして機能してしまう。
LMSやASP.NETベースのプラットフォームを展開する組織は、マシンキーのローテーションと一意性を、オプションのセキュリティ強化手順ではなく、交渉の余地のない基本的なセキュリティ管理として扱うべきである。
翻訳元: https://cyberpress.org/knowledgedeliver-lms-0-day/