Sikkerhedsforskere opdagede en kritisk KnowledgeDeliver-sårbarhed, som angribere udnyttede som en zero-day til at kompromittere servere og installere ondsindede web shells.
Sårbarheden påvirkede KnowledgeDeliver, et læringsplatformssystem udviklet af Digital Knowledge og bredt anvendt i Japan inden for erhvervsliv og uddannelsessektoren. Forskere oplyste, at angriberne udnyttede fejlen, før sikkerhedsopdateringer blev tilgængelige.
Delte ASP.NET-nøgler muliggjorde fjernudførelse af kode
Forskerne registrerede sårbarheden som CVE-2026-5426. Problemet opstod i ældre KnowledgeDeliver-installationer, som brugte identiske ASP.NET machine keys i standardkonfigurationer.
Disse nøgler håndterede kryptering og validering af ASP.NET ViewState. Fordi flere installationer delte de samme nøgler, kunne angribere, der fik adgang til værdierne fra ét system, potentielt angribe andre eksponerede miljøer, der kørte platformen.
Forskerne forklarede, at angriberne misbrugte sårbarheden gennem såkaldte ViewState-deserialiseringsangreb. Ved at sende specialdesignede forespørgsler kunne trusselsaktører opnå fjernudførelse af kode på sårbare servere.
Angribere installerede web shells
Googles sikkerhedsfirma Mandiant opdagede angrebene under en hændelsesundersøgelse relateret til et kompromitteret KnowledgeDeliver-miljø.
Forskerne observerede, at angriberne installerede Godzilla web shell direkte i hukommelsen via IIS worker-processer. Malwaren gjorde det muligt for trusselsaktører at udføre kommandoer, uploade yderligere malware og opretholde langvarig adgang til kompromitterede systemer.
Efterforskerne opdagede også tegn på manipulation af applikationen efter indbruddet. Angriberne ændrede JavaScript-filer i platformen for at vise falske browsersikkerhedsadvarsler, der forsøgte at narre brugere til at installere ondsindet software forklædt som autentificeringsværktøjer.
Cobalt Strike blev brugt under angrebet
Forskerne oplyste, at angrebene senere førte til installation af Cobalt Strike Beacon-malware på de berørte systemer.
Mandiant bemærkede, at én af payloadsene så ud til at være specialtilpasset den målrettede organisation, fordi krypteringsnøglen indeholdt offerets navn. Forskerne mener derfor, at angriberne planlagde dele af operationen nøje i stedet for udelukkende at stole på automatiseret udnyttelse.
Hændelsen viser, hvordan sårbarheder i webapplikationer hurtigt kan udvikle sig til større malwareinfektioner, der påvirker både servere og slutbrugere.
Ældre installationer er fortsat udsatte
Forskerne advarede om, at KnowledgeDeliver-installationer installeret før februar 2026 fortsat kan være sårbare, hvis administratorer ikke har roteret ASP.NET machine keys eller installeret opdaterede konfigurationer.
Sikkerhedseksperter anbefalede organisationer at:
- Rotere ASP.NET machine keys med det samme
- Gennemgå logs for mistænkelig ViewState-aktivitet
- Søge efter indikatorer på web shells i systemerne
- Begrænse interneteksponering hvor det er muligt
- Installere opdaterede leverandørkonfigurationer
Forskerne advarede også om, at eksponerede KnowledgeDeliver-servere bør behandles som potentielt kompromitterede, indtil administratorer har gennemført fulde retsmedicinske undersøgelser.
Konklusion
Den udnyttede KnowledgeDeliver-sårbarhed viser de alvorlige risici ved usikre standardkonfigurationer og delte kryptografiske hemmeligheder. Angribere brugte zero-day-sårbarheden til at installere web shells, manipulere applikationsfiler og distribuere yderligere malware på sårbare systemer. Forskere mener derfor, at organisationer, der bruger ældre KnowledgeDeliver-miljøer, straks bør undersøge tegn på kompromittering og implementere alle tilgængelige sikkerhedsforanstaltninger.
0 svar til “KnowledgeDeliver zero-day blev brugt til at installere web shells”