Hacker khai thác lỗ hổng zero-day KnowledgeDeliver để triển khai web shell

Hacker khai thác lỗ hổng zero-day KnowledgeDeliver để triển khai web shell

Mandiant, công ty thuộc sở hữu của Google, vừa báo cáo rằng các tác nhân đe dọa đã khai thác một lỗ hổng zero-day trong phần mềm KnowledgeDeliver để triển khai web shell và backdoor. KnowledgeDeliver là một hệ thống quản lý học tập (LMS) do công ty Digital Knowledge phát triển, được sử dụng rộng rãi trong các doanh nghiệp và cơ sở giáo dục, chủ yếu tại thị trường Nhật Bản.

Lỗ hổng bảo mật zero-day

Chi tiết lỗ hổng CVE-2026-5426

Lỗ hổng zero-day này đã được theo dõi dưới mã định danh CVE-2026-5426 với điểm số CVSS là 7.5 (mức độ nghiêm trọng cao). Nguyên nhân gốc rễ của vấn đề nằm ở việc các bản triển khai KnowledgeDeliver sử dụng một tệp cấu hình chuẩn web.config chứa các giá trị machineKey được mã hóa cứng (hardcoded).

Trong framework ASP.NET, các khóa này được sử dụng để mã hóa dữ liệu và ký số. Việc xuất hiện các giá trị mặc định này trên nhiều hệ thống cài đặt độc lập khác nhau đã tạo điều kiện thuận lợi cho những kẻ tấn công nắm được khóa bí mật. Từ đó, chúng có thể xâm nhập vào các bản triển khai khác thông qua các cuộc tấn công deserialization ViewState.

"ASP.NET ViewState duy trì trạng thái của trang qua các lần đăng lại (postbacks). Khi biết được machineKey, tác nhân đe dọa có thể tạo ra một payload ViewState độc hại. Bằng cách gửi payload này trong một yêu cầu HTTP, kẻ tấn công có thể khiến máy chủ giải mã nó," Mandiant giải thích.

Loại tấn công này không hoàn toàn mới mẻ và từng được nhìn thấy trong việc khai thác các phiên bản Sitecore, CentreStack, cũng như trong các cuộc tấn công liên quan đến framework khai thác sau xâm nhập (post-exploitation) Godzilla.

Chuỗi tấn công và phần mềm độc hại

Theo Mandiant, việc khai thác lỗ hổng zero-day của KnowledgeDeliver đã dẫn đến việc triển khai các web shell Godzilla (còn được gọi là Bluebeam). Phần mềm độc hại này được triển khai trực tiếp trong bộ nhớ (memory-resident), cho phép các tác nhân đe dọa thực thi các lệnh và payload bổ sung trên máy bị nhiễm.

Bảo mật mạng

Kẻ tấn công đã sử dụng Godzilla để sửa đổi quyền truy cập vào thư mục của ứng dụng web và can thiệp vào một tệp JavaScript của ứng dụng. Mục đích là để tải một tập lệnh độc hại và hiển thị một cảnh báo bảo mật giả mạo, yêu cầu người dùng cài đặt một plugin giả.

Cuối cùng, các hệ thống bị nhiễm đã bị cài đặt backdoor Cobalt Strike. Do payload được mã hóa bằng một khóa chứa tên của tổ chức nạn nhân, Mandiant tin rằng backdoor này được chuẩn bị riêng cho tổ chức đó, cho thấy sự nhắm mục tiêu có chủ đích.

Khuyến nghị bảo mật

Mandiant đã cung cấp các chỉ số bị xâm phạm (IoCs) liên quan đến cuộc tấn công này và khuyến nghị các tổ chức giám sát môi trường của mình để phát hiện các dấu hiệu xâm nhập tiềm ẩn.

Các tổ chức sử dụng KnowledgeDeliver cũng được khuyên nên xoay vòng (rotate) các khóa máy (machine keys) cho các phiên bản của mình và hạn chế quyền truy cập vào hệ thống LMS. Tất cả các bản triển khai KnowledgeDeliver trước ngày 24 tháng 2 năm 2026 đều bị ảnh hưởng bởi lỗ hổng zero-day này và có khả năng gặp rủi ro bị khai thác.