Уязвимость CVE-2026-5426 (CVSS 7.5) в системе управления обучением Digital Knowledge KnowledgeDeliver, широко используемой в Японии, эксплуатировалась как zero-day для развёртывания веб-шелла Godzilla и последующей доставки Cobalt Strike Beacon конечным пользователям платформы. Уязвимость связана с жёстко закодированными ключами ASP.NET в конфигурации приложения и позволяет выполнить произвольный код без аутентификации. Затронуты все развёртывания KnowledgeDeliver до 24 февраля 2026 года. Организациям, использующим эту LMS, необходимо немедленно обновить систему и провести аудит инфраструктуры на предмет компрометации.
Техническая суть уязвимости
Корень проблемы — в архитектурном решении вендора: установки KnowledgeDeliver поставлялись со стандартизированным файлом web.config, содержащим жёстко закодированные значения machineKey. Эти ключи используются фреймворком ASP.NET для шифрования и подписи данных, включая параметр ViewState — механизм сохранения состояния страницы между HTTP-запросами.
Поскольку все развёртывания KnowledgeDeliver использовали одни и те же ключи, злоумышленник, получивший доступ к ключам из любой единственной инсталляции, мог скомпрометировать все остальные экземпляры системы, доступные из интернета. Атака реализуется через отправку специально сформированного ViewState-пейлоада в параметре __VIEWSTATE HTTP-запроса — сервер десериализует его и выполняет вложенный код.
Как отмечают Google Mandiant и Google Threat Intelligence Group (GTIG), злоупотребление публично раскрытыми ключами ASP.NET было впервые задокументировано Microsoft в феврале 2025 года. Аналогичные уязвимости, связанные с жёстко закодированными ключами и десериализацией ViewState, ранее эксплуатировались в Sitecore Experience Manager (XM), а также Gladinet CentreStack и TrioFox.
Цепочка атаки: от веб-шелла до заражения пользователей
Наблюдаемая кампания демонстрирует многоступенчатый подход, нацеленный не только на сервер, но и на конечных пользователей LMS-платформы:
Этап 1 — начальный доступ. Неизвестный злоумышленник эксплуатировал CVE-2026-5426 для развёртывания веб-шелла Godzilla (также известного как BLUEBEAM). Этот инструмент предоставил атакующему возможность выполнять произвольные команды на сервере и загружать дополнительные полезные нагрузки.
Этап 2 — эскалация контроля. Через веб-шелл были выполнены команды, предоставляющие группе «Everyone» полный доступ к каталогу веб-приложения. Это обеспечило злоумышленнику неограниченный контроль над файловой системой сервера.
Этап 3 — компрометация клиентской стороны. Атакующий модифицировал JavaScript-файл приложения, внедрив код, который отображал поддельное предупреждение безопасности. Пользователям предлагалось установить «плагин аутентификации безопасности». Параллельно загружался вредоносный скрипт с домена, контролируемого злоумышленником.
Этап 4 — доставка Cobalt Strike. Скрипт убеждал пользователей загрузить поддельный установщик, который заражал их машины маяком Cobalt Strike Beacon. По данным Google, полезная нагрузка была зашифрована ключом, содержащим название скомпрометированной организации, что указывает на целенаправленную подготовку атаки под конкретную жертву.
Оценка воздействия и масштаб угрозы
Принципиальная опасность CVE-2026-5426 заключается в системном характере уязвимости: единый набор ключей, распространяемый вендором, превращает компрометацию одной инсталляции в угрозу для всей экосистемы развёртываний. Это не точечная уязвимость в коде — это архитектурный дефект модели дистрибуции.
Наибольшему риску подвержены:
- Образовательные учреждения и корпоративные учебные центры в Японии, использующие KnowledgeDeliver как основную LMS-платформу
- Конечные пользователи скомпрометированных платформ, которые могли загрузить вредоносный «плагин» и получить Cobalt Strike Beacon
- Корпоративные сети, в которые Cobalt Strike Beacon мог обеспечить дальнейшее продвижение атакующего
Примечательно, что на момент публикации CVE-2026-5426 не внесена в каталог CISA Known Exploited Vulnerabilities, несмотря на подтверждённую эксплуатацию в реальных атаках.
Рекомендации по реагированию
Для организаций, использующих KnowledgeDeliver:
- Немедленно обновите KnowledgeDeliver до версии, выпущенной после 24 февраля 2026 года, в которой уязвимость устранена
- Замените значения machineKey в файле
web.configна уникальные, криптографически стойкие ключи для каждого развёртывания. Убедитесь, что ключи не совпадают со стандартными значениями из шаблона вендора - Проведите аудит файловой системы веб-сервера: проверьте наличие неизвестных файлов (особенно ASPX-файлов веб-шеллов), изменения в JavaScript-файлах приложения и аномальные разрешения на каталоги
- Проверьте журналы на предмет подозрительных POST-запросов с нестандартными значениями параметра
__VIEWSTATE - Оцените компрометацию конечных точек: если пользователи LMS-платформы могли взаимодействовать с поддельным предупреждением — проведите проверку их рабочих станций на наличие Cobalt Strike Beacon
Для разработчиков и вендоров ASP.NET-приложений этот инцидент — прямое указание на необходимость генерации уникальных криптографических ключей при каждом развёртывании. Включение секретных значений в шаблоны конфигурации создаёт системную уязвимость, масштабируемую на всю клиентскую базу продукта.
Организациям, эксплуатирующим KnowledgeDeliver, следует рассматривать любое развёртывание с неизменёнными стандартными ключами как потенциально скомпрометированное и действовать соответственно: обновить систему, заменить ключи, проверить целостность файлов приложения и провести поиск индикаторов присутствия Godzilla и Cobalt Strike в инфраструктуре.
