Sicherheitsforscher entdeckten eine kritische KnowledgeDeliver-Schwachstelle, die Angreifer als Zero-Day ausnutzten, um Server zu kompromittieren und bösartige Web Shells zu installieren.
Die Schwachstelle betraf KnowledgeDeliver, ein von Digital Knowledge entwickeltes Learning-Management-System, das in Japan weit verbreitet in Unternehmen und Bildungseinrichtungen eingesetzt wird. Forscher erklärten, dass Angreifer die Schwachstelle bereits ausnutzten, bevor Sicherheitsupdates verfügbar waren.
Gemeinsame ASP.NET-Schlüssel ermöglichten Remote Code Execution
Die Forscher verfolgten die Schwachstelle unter der Kennung CVE-2026-5426. Das Problem betraf ältere KnowledgeDeliver-Installationen, die identische ASP.NET Machine Keys in den Standardkonfigurationen verwendeten.
Diese Schlüssel waren für die Verschlüsselung und Validierung von ASP.NET ViewState verantwortlich. Da mehrere Installationen dieselben Schlüssel verwendeten, konnten Angreifer, die die Werte aus einem System erlangten, potenziell andere exponierte Umgebungen angreifen, die dieselbe Plattform betrieben.
Die Forscher erklärten, dass die Angreifer die Schwachstelle über sogenannte ViewState-Deserialisierungsangriffe ausnutzten. Durch speziell präparierte Anfragen konnten Bedrohungsakteure Remote Code Execution auf verwundbaren Servern erreichen.
Angreifer installierten Web Shells
Googles Sicherheitsunternehmen Mandiant entdeckte die Angriffe während einer Incident-Response-Untersuchung in einer kompromittierten KnowledgeDeliver-Umgebung.
Die Forscher beobachteten, dass die Angreifer die Godzilla Web Shell direkt im Arbeitsspeicher über IIS-Worker-Prozesse installierten. Die Malware ermöglichte es den Bedrohungsakteuren, Befehle auszuführen, zusätzliche Schadsoftware hochzuladen und langfristige Persistenz auf kompromittierten Systemen aufrechtzuerhalten.
Die Ermittler entdeckten außerdem Hinweise auf Manipulationen an der Anwendung nach dem Einbruch. Die Angreifer veränderten JavaScript-Dateien innerhalb der Plattform, um gefälschte Browser-Sicherheitswarnungen anzuzeigen, die Nutzer dazu verleiten sollten, schädliche Software zu installieren, die als Authentifizierungstool getarnt war.
Cobalt Strike wurde während des Angriffs eingesetzt
Die Forscher erklärten, dass die Angriffe später zur Installation von Cobalt Strike Beacon-Malware auf betroffenen Systemen führten.
Mandiant stellte fest, dass eine der Payloads speziell für die angegriffene Organisation angepasst zu sein schien, da der Verschlüsselungsschlüssel den Namen des Opfers enthielt. Die Forscher gehen deshalb davon aus, dass die Angreifer Teile der Operation sorgfältig vorbereiteten, anstatt sich vollständig auf automatisierte Ausnutzung zu verlassen.
Der Vorfall zeigt, wie Schwachstellen in Webanwendungen schnell zu umfassenderen Malware-Infektionen eskalieren können, die sowohl Server als auch Endnutzer betreffen.
Ältere Installationen bleiben gefährdet
Die Forscher warnten davor, dass KnowledgeDeliver-Installationen, die vor Februar 2026 eingerichtet wurden, weiterhin verwundbar sein könnten, wenn Administratoren die ASP.NET Machine Keys nicht rotiert oder aktualisierte Konfigurationen eingespielt haben.
Sicherheitsexperten empfahlen Organisationen:
- ASP.NET Machine Keys sofort zu rotieren
- Logs auf verdächtige ViewState-Aktivitäten zu überprüfen
- Systeme nach Hinweisen auf Web Shells zu durchsuchen
- Die Internet-Exposition nach Möglichkeit einzuschränken
- Aktualisierte Herstellerkonfigurationen einzuspielen
Die Forscher warnten außerdem davor, dass exponierte KnowledgeDeliver-Server als potenziell kompromittiert betrachtet werden sollten, bis Administratoren vollständige forensische Untersuchungen abgeschlossen haben.
Fazit
Die ausgenutzte KnowledgeDeliver-Schwachstelle verdeutlicht die erheblichen Risiken unsicherer Standardkonfigurationen und gemeinsam genutzter kryptografischer Geheimnisse. Angreifer nutzten die Zero-Day-Schwachstelle, um Web Shells zu installieren, Anwendungsdateien zu manipulieren und zusätzliche Malware auf verwundbaren Systemen einzusetzen. Forscher sind deshalb überzeugt, dass Organisationen mit älteren KnowledgeDeliver-Umgebungen dringend nach Anzeichen einer Kompromittierung suchen und sämtliche verfügbaren Schutzmaßnahmen sofort umsetzen sollten.
0 Kommentare zu „KnowledgeDeliver Zero-Day wurde zur Verbreitung von Web Shells eingesetzt“