Sikkerhetsforskere oppdaget en kritisk KnowledgeDeliver-sårbarhet som angripere utnyttet som en zero-day for å kompromittere servere og distribuere ondsinnede web shells.
Sårbarheten påvirket KnowledgeDeliver, et læringsplattformsystem utviklet av Digital Knowledge og mye brukt i Japan innen næringsliv og utdanningssektoren. Forskere opplyste at angriperne utnyttet feilen før sikkerhetsoppdateringer ble tilgjengelige.
Delte ASP.NET-nøkler muliggjorde fjernkjøring av kode
Forskerne sporet sårbarheten som CVE-2026-5426. Problemet oppsto i eldre KnowledgeDeliver-installasjoner som brukte identiske ASP.NET machine keys i standardkonfigurasjoner.
Disse nøklene håndterte kryptering og validering av ASP.NET ViewState. Fordi flere installasjoner delte de samme nøklene, kunne angripere som fikk tilgang til verdiene fra ett system potensielt angripe andre eksponerte miljøer som kjørte plattformen.
Forskerne forklarte at angriperne misbrukte sårbarheten gjennom såkalte ViewState-deserialiseringsangrep. Ved å sende spesialutformede forespørsler kunne trusselaktører oppnå fjernkjøring av kode på sårbare servere.
Angripere installerte web shells
Googles sikkerhetsselskap Mandiant oppdaget angrepene under en hendelsesrespons knyttet til et kompromittert KnowledgeDeliver-miljø.
Forskerne observerte at angriperne distribuerte Godzilla web shell direkte i minnet via IIS worker-prosesser. Skadevaren gjorde det mulig for trusselaktører å kjøre kommandoer, laste opp ytterligere skadevare og opprettholde langvarig tilgang til kompromitterte systemer.
Etterforskerne oppdaget også tegn på manipulering av applikasjonen etter innbruddet. Angriperne modifiserte JavaScript-filer i plattformen for å vise falske sikkerhetsvarsler i nettleseren som forsøkte å lure brukere til å installere ondsinnet programvare forkledd som autentiseringsverktøy.
Cobalt Strike ble brukt under angrepet
Forskerne opplyste at angrepene senere førte til distribusjon av Cobalt Strike Beacon-skadevare på de berørte systemene.
Mandiant bemerket at én av nyttelastene så ut til å være spesialtilpasset den målrettede organisasjonen fordi krypteringsnøkkelen inneholdt offerets navn. Forskerne mener derfor at angriperne planla deler av operasjonen nøye i stedet for å stole fullt ut på automatisert utnyttelse.
Hendelsen viser hvordan sårbarheter i webapplikasjoner raskt kan utvikle seg til større malwareinfeksjoner som påvirker både servere og sluttbrukere.
Eldre installasjoner er fortsatt utsatt
Forskerne advarte om at KnowledgeDeliver-installasjoner installert før februar 2026 fortsatt kan være sårbare dersom administratorer ikke har rotert ASP.NET machine keys eller installert oppdaterte konfigurasjoner.
Sikkerhetseksperter anbefalte organisasjoner å:
- Rotere ASP.NET machine keys umiddelbart
- Gjennomgå logger for mistenkelig ViewState-aktivitet
- Søke etter indikatorer på web shells i systemene
- Begrense internetteksponering der det er mulig
- Installere oppdaterte leverandørkonfigurasjoner
Forskerne advarte også om at eksponerte KnowledgeDeliver-servere bør behandles som potensielt kompromitterte inntil administratorer har gjennomført fullstendige forensiske undersøkelser.
Konklusjon
Den utnyttede KnowledgeDeliver-sårbarheten viser de alvorlige risikoene knyttet til usikre standardkonfigurasjoner og delte kryptografiske hemmeligheter. Angripere brukte zero-day-sårbarheten til å distribuere web shells, manipulere applikasjonsfiler og installere ytterligere skadevare på sårbare systemer. Forskere mener derfor at organisasjoner som bruker eldre KnowledgeDeliver-miljøer umiddelbart bør undersøke tegn på kompromittering og implementere alle tilgjengelige sikkerhetstiltak.
0 responses to “KnowledgeDeliver zero-day ble brukt til å distribuere web shells”