CVE-2026-5426として国際的に登録されたこの重大なセキュリティ上の欠陥は、CVSSv3.1スコア9.1という深刻な評価を受け、KnowledgeDeliverラーニング管理アーキテクチャ内において確認された。攻撃者集団はこの境界部の脆弱性を悪用して中核的な本番サーバーを掌握し、正規の訪問者を標的とした川下のウォータリングホール攻撃を展開するための踏み台として利用した。日本のテクノロジー企業Digital Knowledgeが開発した同ソフトウェアは、国内の遠隔学習インフラにおける基盤的な中核システムとして機能している。
Mandiant(Googleの脅威インテリジェンス部門)のフォレンジック調査担当者が、2025年末にかけてこの侵害の全容を包括的に解析した。同チームのテレメトリ分析により、認証されていない外部の攻撃者が任意のリモートコード実行権限を取得していたことが明らかになった。この組織的な侵害は、深刻なアーキテクチャ上の欠陥に起因していた。すなわち、複数の独立した企業インストールにわたって、均一なハードコードされたASP.NET machineKey設定が使用されていたという問題である。
2026年2月24日以前に初期化された本番環境は、いずれもベンダーから直接提供された標準化されたweb.configテンプレートを取り込んでいた。この設定ファイルには、静的かつ事前構成された暗号シークレットが含まれていた。重要なのは、Webサブシステムがこれらの固有のプリミティブを使用してトランザクション構造に署名・暗号化を施している点であり、その最たる例がViewStateオブジェクトだ。ViewStateとは、非同期でステートレスなユーザーリクエスト間にわたって状態変数を保持するための機構である。
その結果、単一のインスタンスから静的な鍵を取得した攻撃者は、悪意あるViewStateペイロードを容易に偽造することが可能となった。公開されているKnowledgeDeliverゲートウェイにこの偽造ペイロードを送信すると、ホストはその偽造されたシリアライゼーション文字列を本来信頼できるトークンとして処理してしまう。この検証の失敗が必然的にサーバーサイドでの即時コード実行を引き起こした。
侵害後の永続化とメモリ空間の悪用
最初の侵害に続き、脅威アクターはBLUEBEAMウェブシェルを展開することで足場を固めた。これはGodzillaマルウェアファミリーと密接に関連するインプラントである。この悪意あるコンポーネントは、稼働中のインターネット インフォメーション サービス(IIS)ワーカープロセスw3wp.exeの揮発性メモリ空間内のみで動作した。物理ストレージ上に永続的な痕跡を残さないため、従来のファイルベースのウイルス対策スキャナーはこの汚染をまったく検知できなかった。攻撃者は通常のHTTP POSTベクター内に隠蔽した対称暗号化ラッパーを通じてコマンド&コントロール(C2)通信を維持し、補助バイナリをひそかに配信した。
続いて攻撃者はネイティブのicaclsユーティリティを使用してディレクトリのセキュリティ記述子を操作し、Everyoneグループに対して無制限の読み書き権限を任意に付与した。この完全な管理制御により、ネイティブのJavaScriptライブラリへの悪意あるフックの組織的な挿入が可能となった。その結果、侵害されたインターフェースにアクセスした正規のエンドユーザーは、いわゆる「認証プラグイン」の必須インストールを求める偽のセキュリティダイアログに直面し、その間、ブラウザは攻撃者が管理する外部ドメインから二次的な悪意あるスクリプトをひそかに取得していた。
この偽装インストールユーティリティはドロッパーとして機能し、クライアントのワークステーションをCobalt Strike BEACONエージェントに感染させた。興味深いことに、ペイロードバイナリは侵害された企業の名称を明示的に組み込んだ固有の暗号鍵を使用して偽装されていた。このフォレンジック上の特徴は、攻撃を指揮した者による高度に意図的な標的選定を強く示唆している。
防御的な緩和策とインシデント対応プレイブック
このアクティブな脅威ベクターを無力化するため、Mandiantはシステム管理者に対して以下の緩和プロトコルを緊急に実施するよう勧告している:
- 暗号鍵のローテーション:デフォルトの設定マトリクスを削除し、すべての独立したノードに対して固有かつ暗号学的に堅牢な
machineKeyを設定する。この対処により、攻撃に使用された共有シークレットが無効化される。 - ネットワークセグメンテーション:厳格なIPアドレスホワイトリストにより、管理フレームワークおよびLMSの主要ゲートウェイへのアクセスを制限する。
- テレメトリ監視:Windowsアプリケーションログについて、ASP.NETイベントID 1316の異常を継続的に監視する。
- プロセスツリーの監査:
w3wp.exeの実行ツリーを精査し、不正な子プロセス、特にcmd.exe、whoami、またはpowershell.exeの呼び出しを重点的に確認する。 - ファイルシステムの完全性検証:すべてのローカルの
.js、.aspx、および.configファイルに対して定期的な完全性検証スイープを厳格に実施し、不正な改ざんを検出する。
翻訳元: https://meterpreter.org/knowledgedeliver-cve-2026-5426-patch-aspnet-rce/
