Вразливість CVE-2026-5426 (CVSS 7.5) у системі управління навчанням Digital Knowledge KnowledgeDeliver, яка широко використовується в Японії, експлуатувалася як zero-day для розгортання вебшелу Godzilla та подальшої доставки Cobalt Strike Beacon кінцевим користувачам платформи. Вразливість пов’язана з жорстко закодованими ключами ASP.NET у конфігурації застосунку та дає змогу виконати довільний код без автентифікації. Під загрозою всі розгортання KnowledgeDeliver до 24 лютого 2026 року. Організаціям, які використовують цю LMS, необхідно негайно оновити систему та провести аудит інфраструктури на предмет компрометації.
Технічна суть вразливості
Корінь проблеми — в архітектурному рішенні вендора: інсталяції KnowledgeDeliver постачалися зі стандартизованим файлом web.config, що містив жорстко закодовані значення machineKey. Ці ключі використовуються фреймворком ASP.NET для шифрування та підпису даних, зокрема параметра ViewState — механізму збереження стану сторінки між HTTP-запитами.
Оскільки всі розгортання KnowledgeDeliver використовували одні й ті самі ключі, зловмисник, який отримав доступ до ключів із будь-якої однієї інсталяції, міг скомпрометувати всі інші екземпляри системи, доступні з інтернету. Атака реалізується шляхом надсилання спеціально сформованого пейлоаду ViewState в параметрі __VIEWSTATE HTTP-запиту — сервер десеріалізує його та виконує вкладений код.
Як зазначають Google Mandiant і Google Threat Intelligence Group (GTIG), зловживання публічно розкритими ключами ASP.NET вперше було задокументовано Microsoft у лютому 2025 року. Подібні вразливості, пов’язані з жорстко закодованими ключами та десеріалізацією ViewState, раніше експлуатувалися в Sitecore Experience Manager (XM), а також Gladinet CentreStack і TrioFox.
Ланцюжок атаки: від вебшелу до зараження користувачів
Спостережувана кампанія демонструє багатоступеневий підхід, націлений не лише на сервер, а й на кінцевих користувачів платформи LMS:
Етап 1 — початковий доступ. Невідомий зловмисник експлуатував CVE-2026-5426 для розгортання вебшелу Godzilla (також відомого як BLUEBEAM). Цей інструмент надав атакувальнику змогу виконувати довільні команди на сервері та завантажувати додаткові шкідливі компоненти.
Етап 2 — розширення контролю. Через вебшел були виконані команди, які надали групі «Everyone» повний доступ до каталогу вебзастосунку. Це забезпечило зловмиснику необмежений контроль над файловою системою сервера.
Етап 3 — компрометація клієнтської сторони. Атакувальник модифікував JavaScript-файл застосунку, вставивши код, що відображав фальшиве попередження безпеки. Користувачам пропонувалося встановити «плагін автентифікації безпеки». Паралельно завантажувався шкідливий скрипт із домену, який контролювався зловмисником.
Етап 4 — доставка Cobalt Strike. Скрипт переконував користувачів завантажити підроблений інсталятор, який заражав їхні машини маяком Cobalt Strike Beacon. За даними Google, корисне навантаження було зашифроване ключем, що містив назву скомпрометованої організації, що вказує на цілеспрямовану підготовку атаки під конкретну жертву.
Оцінка впливу та масштаб загрози
Принципова небезпека CVE-2026-5426 полягає в системному характері вразливості: єдиний набір ключів, який розповсюджує вендор, перетворює компрометацію однієї інсталяції на загрозу для всієї екосистеми розгортань. Це не точкова вразливість у коді — це архітектурний дефект моделі дистрибуції.
Найбільшому ризику піддаються:
- Освітні установи та корпоративні навчальні центри в Японії, які використовують KnowledgeDeliver як основну платформу LMS
- Кінцеві користувачі скомпрометованих платформ, які могли завантажити шкідливий «плагін» і отримати Cobalt Strike Beacon
- Корпоративні мережі, у які Cobalt Strike Beacon міг забезпечити подальше просування зловмисника
Показово, що на момент публікації CVE-2026-5426 не внесено до каталогу CISA Known Exploited Vulnerabilities, попри підтверджену експлуатацію в реальних атаках.
Рекомендації щодо реагування
Для організацій, які використовують KnowledgeDeliver:
- Негайно оновіть KnowledgeDeliver до версії, випущеної після 24 лютого 2026 року, в якій вразливість усунено
- Замініть значення machineKey у файлі
web.configна унікальні, криптографічно стійкі ключі для кожного розгортання. Переконайтеся, що ключі не збігаються зі стандартними значеннями з шаблону вендора - Проведіть аудит файлової системи вебсервера: перевірте наявність невідомих файлів (особливо ASPX-файлів вебшелів), зміни в JavaScript-файлах застосунку та аномальні дозволи на каталоги
- Перевірте журнали на предмет підозрілих POST-запитів із нестандартними значеннями параметра
__VIEWSTATE - Оцініть компрометацію кінцевих точок: якщо користувачі платформи LMS могли взаємодіяти з підробленим попередженням — перевірте їхні робочі станції на наявність Cobalt Strike Beacon
Для розробників і вендорів застосунків ASP.NET цей інцидент — пряме свідчення необхідності генерування унікальних криптографічних ключів під час кожного розгортання. Включення секретних значень до шаблонів конфігурації створює системну вразливість, що масштабується на всю клієнтську базу продукту.
Організаціям, які експлуатують KnowledgeDeliver, варто розглядати будь-яке розгортання з незміненими стандартними ключами як потенційно скомпрометоване і діяти відповідно: оновити систему, замінити ключі, перевірити цілісність файлів застосунку та провести пошук індикаторів присутності Godzilla і Cobalt Strike в інфраструктурі.
