Một lỗ hổng bảo mật nghiêm trọng hiện đã được vá ảnh hưởng đến KnowledgeDeliver của Digital Knowledge, một Hệ thống Quản lý Học tập (LMS) phổ biến tại Nhật Bản, đã bị khai thác dưới dạng Zero-Day để phát tán Godzilla web shell và cuối cùng tạo điều kiện cho việc triển khai Cobalt Strike Beacon.
Lỗ hổng này, được theo dõi với mã CVE-2026-5426 (điểm CVSS: 7.5), bắt nguồn từ việc sử dụng các ASP.NET machine keys được mã hóa cứng, dẫn đến thực thi mã từ xa không cần xác thực thông qua một cuộc tấn công giải tuần tự hóa ViewState. Việc lạm dụng các ASP.NET machine keys bị công khai bởi các tác nhân đe dọa lần đầu tiên được Microsoft ghi nhận vào tháng 2 năm 2025.
"Một tác nhân đe dọa chưa xác định đã tận dụng quyền truy cập này để chèn mã độc vào nền tảng LMS, với mục đích lây nhiễm cho người dùng truy cập trang web," Google Mandiant và Nhóm Tình báo Đe dọa của Google (GTIG) cho biết.
Lỗ hổng bảo mật này ảnh hưởng đến các bản triển khai Digital Knowledge KnowledgeDeliver trước ngày 24 tháng 2 năm 2026. Đáng chú ý là các lỗ hổng tương tự trong Sitecore Experience Manager (XM) và Gladinet CentreStack và TrioFox cũng đã bị các tác nhân đe dọa khai thác.
Nguyên nhân từ các MachineKey mã hóa cứng
Vấn đề bắt nguồn từ thực tế là các bản cài đặt KnowledgeDeliver dựa trên một tệp web.config tiêu chuẩn do nhà cung cấp cung cấp, chứa các giá trị machineKey được mã hóa cứng mà khung ASP.NET sử dụng để mã hóa và ký dữ liệu, bao gồm cả các gói tin ViewState.
Do đó, một tác nhân đe dọa nếu lấy được các khóa từ một bản triển khai có thể tận dụng chúng để xâm nhập các phiên bản KnowledgeDeliver khác đang kết nối internet.
"ASP.NET ViewState duy trì trạng thái trang qua các lần postback," Google cho biết. "Khi machineKey được biết đến, tác nhân đe dọa có thể tạo ra một gói tin ViewState độc hại. Bằng cách gửi gói tin này trong một yêu cầu HTTP (thông qua tham số __VIEWSTATE), kẻ tấn công có thể khiến máy chủ giải tuần tự hóa nó."
Triển khai Godzilla Web Shell và Cobalt Strike
Trong các hoạt động được quan sát liên quan đến CVE-2026-5426, những kẻ tấn công đã được phát hiện triển khai Godzilla (còn gọi là BLUEBEAM) web shell, cấp cho chúng khả năng chạy các lệnh hoặc thả thêm các gói tin độc hại khác.
Trong số các lệnh được thực thi có các chỉ dẫn nhằm leo thang quyền kiểm soát đối với hệ thống tệp của máy chủ web bằng cách cấp quyền truy cập đầy đủ cho "Everyone" vào thư mục ứng dụng web. Sau đó, tác nhân đe dọa đã can thiệp vào tệp JavaScript của ứng dụng để bao gồm mã hiển thị cảnh báo bảo mật giả mạo, thúc giục người dùng cài đặt một "plugin xác thực bảo mật".
Đồng thời, các sửa đổi trái phép đã cho phép tải lén lút một tập lệnh độc hại được lưu trữ trên một tên miền do kẻ tấn công kiểm soát. Tập lệnh này sau đó đã thuyết phục người dùng tải xuống một trình cài đặt giả mạo, cuối cùng lây nhiễm vào máy tính bằng Cobalt Strike Beacon.
"Gói tin độc hại được mã hóa bằng một khóa sử dụng tên của tổ chức bị xâm nhập, điều này cho thấy tác nhân đe dọa đã chuẩn bị gói tin này cụ thể cho tổ chức mục tiêu," Google cho biết.
"Việc khai thác KnowledgeDeliver làm nổi bật rủi ro nghiêm trọng của việc sử dụng các bí mật dùng chung (shared secrets) trong các mẫu triển khai. Một khóa bị rò rỉ duy nhất có thể làm tổn hại toàn bộ hệ sinh thái các bản cài đặt. Bằng cách triển khai các khóa bí mật duy nhất và giám sát điểm cuối mạnh mẽ, các tổ chức có thể phòng thủ trước các cuộc tấn công giải tuần tự hóa này."