ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Уязвимость высокой степени опасности, затрагивающая популярную в Японии систему управления обучением (LMS) Digital Knowledge KnowledgeDeliver и уже исправленная, использовалась в качестве уязвимости «нулевого дня» для установки веб-оболочки Godzilla и, в конечном итоге, для развертывания Cobalt Strike Beacon.

Уязвимость, отслеживаемая как CVE-2026-5426 (оценка CVSS: 7,5), связана с использованием жестко запрограммированных машинных ключей ASP.NET, что приводит к удаленному выполнению кода без аутентификации посредством атаки десериализации ViewState. Злоупотребление публично раскрытыми машинными ключами ASP.NET злоумышленниками впервые было зафиксировано Microsoft в феврале 2025 года.

«Неизвестный злоумышленник воспользовался этим доступом для внедрения вредоносного кода в платформу LMS с целью заражения пользователей, посещающих сайт», — сообщили Google Mandiant и Google Threat Intelligence Group (GTIG).

Уязвимость затронула развертывания Digital Knowledge KnowledgeDeliver, установленные до 24 февраля 2026 года. Стоит отметить, что аналогичные уязвимости в Sitecore Experience Manager (XM), Gladinet CentreStack и TrioFox также были использованы злоумышленниками.

Проблема заключается в том, что установки KnowledgeDeliver полагались на стандартизированный файл web.config, предоставленный поставщиком, который содержал жестко запрограммированные значения machineKey, используемые средой ASP.NET для шифрования и подписи данных, включая полезные нагрузки ViewState.

В результате злоумышленник, которому удалось получить ключи из одного развертывания, мог использовать их для взлома других экземпляров KnowledgeDeliver, подключенных к Интернету.

«ASP.NET ViewState сохраняет состояние страницы при повторных отправках данных», — сообщила компания Google. «Когда machineKey известен, злоумышленник может создать вредоносную полезную нагрузку ViewState. Отправив эту полезную нагрузку в HTTP-запросе (через параметр __VIEWSTATE), злоумышленник может заставить сервер десериализовать ее».

В ходе деятельности, наблюдавшейся в связи с CVE-2026-5426, было обнаружено, что злоумышленники развертывают веб-оболочку Godzilla (также известную как BLUEBEAM), что дает им возможность запускать команды или загружать дополнительные полезные нагрузки.

Среди выполненных команд были инструкции по расширению контроля над файловой системой веб-сервера путем предоставления группе «Everyone» полного доступа к каталогу веб-приложения. Впоследствии злоумышленник подделал файл JavaScript приложения, включив в него код, отображающий поддельное предупреждение о безопасности, призывающее пользователей установить «плагин аутентификации безопасности».

Одновременно с этим несанкционированные изменения позволили незаметно загрузить вредоносный скрипт, размещенный на домене, контролируемом злоумышленником. Скрипт, в свою очередь, убеждал пользователей загрузить поддельный установщик, в результате чего компьютеры заражались Cobalt Strike Beacon.

«Полезная нагрузка была зашифрована с помощью ключа, в котором использовалось название скомпрометированной организации, что указывало на то, что злоумышленник подготовил эту полезную нагрузку специально для данной организации», — сообщили в Google.