KnowledgeDeliver零時差漏洞CVE-2026-5426部署Godzilla Webshell

日本學習管理系統 KnowledgeDeliver 存在 CVE-2026-5426(CVSS 9.1),由於所有客戶部署使用完全相同的 ASP.NET 機器金鑰,攻擊者可從任一伺服器取得金鑰後入侵所有暴露於網際網路的主機,並部署 Godzilla Webshell(BlueBeam)。

漏洞詳情

項目內容
CVECVE-2026-5426
CVSS9.1(重大)
漏洞類型ASP.NET ViewState反序列化 → RCE
根本原因所有客戶部署共用相同機器金鑰
影響範圍2026年2月24日前部署的 KnowledgeDeliver
修補日期2026年2月24日(新版部署工具)
通報機構Mandiant(2026年1月19日)

攻擊鏈

  1. 未身分驗證 → ASP.NET ViewState 反序列化 → RCE
  2. 植入 Godzilla(BlueBeam)Webshell(.NET,純記憶體執行)
  3. icacls 對 IIS 伺服器所有使用者授予完整存取
  4. 竄改平台 JavaScript 顯示偽造資安警示
  5. 誘騙用戶下載 Cobalt Strike Beacon

共用金鑰高風險

由於不同客戶部署採用完全相同的金鑰,若攻擊者從任一伺服器取得金鑰,就能入侵所有暴露在網際網路的 KnowledgeDeliver 主機。

來源文章

相關頁面