Zero-Day-Angriffe auf KnowledgeDeliver über ASP.NET machineKey-Leck

Foto des Autors

CyberSecureFox Editorial Team

Die Schwachstelle CVE-2026-5426 (CVSS 7.5) im Learning-Management-System Digital Knowledge KnowledgeDeliver, das in Japan weit verbreitet ist, wurde als Zero-Day ausgenutzt, um die Web-Shell Godzilla bereitzustellen und anschließend Cobalt Strike Beacon an Endnutzer der Plattform auszuliefern. Die Schwachstelle steht im Zusammenhang mit hart kodierten ASP.NET-Schlüsseln in der Applikationskonfiguration und ermöglicht die Ausführung beliebigen Codes ohne Authentifizierung. Betroffen sind alle KnowledgeDeliver-Deployments vor dem 24. Februar 2026. Organisationen, die diese LMS einsetzen, müssen das System umgehend aktualisieren und ihre Infrastruktur auf Anzeichen einer Kompromittierung prüfen.

Technischer Kern der Schwachstelle

Die Ursache des Problems liegt in einer Architekturentscheidung des Vendors: KnowledgeDeliver-Installationen wurden mit einer standardisierten Datei web.config ausgeliefert, die hart kodierte Werte für machineKey enthielt. Diese Schlüssel werden vom ASP.NET-Framework zum Verschlüsseln und Signieren von Daten verwendet, darunter der Parameter ViewState – ein Mechanismus zur Speicherung des Seitenzustands zwischen HTTP-Anfragen.

Da alle KnowledgeDeliver-Deployments dieselben Schlüssel verwendeten, konnte ein Angreifer, der aus irgendeiner einzelnen Installation Zugriff auf die Schlüssel erlangte, sämtliche anderen aus dem Internet erreichbaren Instanzen des Systems kompromittieren. Der Angriff wird umgesetzt, indem ein speziell präparierter ViewState-Payload im Parameter __VIEWSTATE eines HTTP-Requests gesendet wird – der Server deserialisiert diesen und führt den eingebetteten Code aus.

Wie Google Mandiant und die Google Threat Intelligence Group (GTIG) hervorheben, wurde der Missbrauch öffentlich offengelegter ASP.NET-Schlüssel erstmals im Februar 2025 von Microsoft dokumentiert. Ähnliche Schwachstellen, die mit hart kodierten Schlüsseln und der Deserialisierung von ViewState zusammenhängen, wurden zuvor in Sitecore Experience Manager (XM) sowie Gladinet CentreStack und TrioFox ausgenutzt.

Angriffskette: von der Web-Shell bis zur Infektion der Nutzer

Die beobachtete Kampagne zeigt einen mehrstufigen Ansatz, der sich nicht nur gegen den Server, sondern auch gegen die Endnutzer der LMS-Plattform richtet:

Etappe 1 – Initialer Zugriff. Ein unbekannter Angreifer nutzte CVE-2026-5426 aus, um die Web-Shell Godzilla (auch bekannt als BLUEBEAM) zu deployen. Dieses Werkzeug verschaffte dem Angreifer die Möglichkeit, beliebige Befehle auf dem Server auszuführen und zusätzliche Payloads hochzuladen.

Etappe 2 – Ausweitung der Kontrolle. Über die Web-Shell wurden Befehle ausgeführt, die der Gruppe „Everyone“ Vollzugriff auf das Verzeichnis der Webapplikation gewährten. Dadurch erhielt der Angreifer uneingeschränkte Kontrolle über das Dateisystem des Servers.

Etappe 3 – Kompromittierung der Client-Seite. Der Angreifer veränderte eine JavaScript-Datei der Applikation, indem er Code einfügte, der eine gefälschte Sicherheitswarnung einblendete. Den Nutzern wurde angeboten, ein „Plugin zur Sicherheits-Authentifizierung“ zu installieren. Parallel dazu wurde ein bösartiges Script von einer vom Angreifer kontrollierten Domain nachgeladen.

Etappe 4 – Auslieferung von Cobalt Strike. Das Script verleitete die Nutzer dazu, einen gefälschten Installer herunterzuladen, der ihre Systeme mit einem Cobalt Strike Beacon infizierte. Nach Angaben von Google war die Payload mit einem Schlüssel verschlüsselt, der den Namen der kompromittierten Organisation enthielt, was auf eine gezielte Vorbereitung des Angriffs auf das jeweilige Opfer hindeutet.

Bewertung der Auswirkungen und des Bedrohungsumfangs

Die grundlegende Gefahr von CVE-2026-5426 liegt im systemischen Charakter der Schwachstelle: Ein einheitlicher, vom Vendor verteilter Schlüsselsatz macht die Kompromittierung einer einzelnen Installation zu einer Bedrohung für das gesamte Ökosystem der Deployments. Es handelt sich nicht um eine punktuelle Schwachstelle im Code, sondern um einen Architekturfehler im Distributionsmodell.

Am stärksten gefährdet sind:

  • Bildungseinrichtungen und betriebliche Trainingszentren in Japan, die KnowledgeDeliver als zentrale LMS-Plattform einsetzen
  • Endnutzer kompromittierter Plattformen, die das bösartige „Plugin“ heruntergeladen und dadurch einen Cobalt Strike Beacon erhalten haben könnten
  • Unternehmensnetzwerke, in denen Cobalt Strike Beacon dem Angreifer eine weitere seitliche Bewegung ermöglichen konnte

Bemerkenswert ist, dass CVE-2026-5426 zum Zeitpunkt der Veröffentlichung noch nicht im CISA-Katalog der Known Exploited Vulnerabilities aufgeführt ist, obwohl die Ausnutzung in realen Angriffen bestätigt wurde.

Empfehlungen zur Reaktion

Für Organisationen, die KnowledgeDeliver einsetzen:

  1. Aktualisieren Sie umgehend KnowledgeDeliver auf eine Version, die nach dem 24. Februar 2026 veröffentlicht wurde und in der die Schwachstelle behoben ist
  2. Ersetzen Sie die machineKey-Werte in der Datei web.config durch eindeutige, kryptographisch starke Schlüssel für jedes Deployment. Stellen Sie sicher, dass die Schlüssel nicht mit den Standardwerten aus dem Vendor-Template übereinstimmen
  3. Führen Sie ein Audit des Dateisystems des Webservers durch: Prüfen Sie, ob unbekannte Dateien vorhanden sind (insbesondere ASPX-Dateien von Web-Shells), ob JavaScript-Dateien der Applikation verändert wurden und ob es ungewöhnliche Berechtigungen auf Verzeichnissen gibt
  4. Überprüfen Sie die Logs auf verdächtige POST-Requests mit ungewöhnlichen Werten im Parameter __VIEWSTATE
  5. Bewerten Sie eine mögliche Kompromittierung von Endpunkten: Wenn Nutzer der LMS-Plattform mit der gefälschten Warnmeldung interagiert haben könnten, untersuchen Sie deren Workstations auf Anzeichen eines Cobalt Strike Beacon

Für Entwickler und Vendors von ASP.NET-Applikationen ist dieser Vorfall ein unmissverständlicher Hinweis darauf, dass bei jedem Deployment eindeutige kryptographische Schlüssel generiert werden müssen. Das Einbetten geheimer Werte in Konfigurationstemplates erzeugt eine systemische Schwachstelle, die sich auf die gesamte Kundenbasis eines Produkts skalieren lässt.

Organisationen, die KnowledgeDeliver betreiben, sollten jedes Deployment mit unveränderten Standard-Schlüsseln als potenziell kompromittiert betrachten und entsprechend handeln: das System aktualisieren, die Schlüssel austauschen, die Integrität der Applikationsdateien prüfen und in der Infrastruktur nach Indikatoren für die Präsenz von Godzilla und Cobalt Strike suchen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen