日本學習管理系統KnowledgeDeliver存在零時差漏洞,駭客用於部署Godzilla

來源: iThome(ID: 612)| URL: https://www.ithome.com.tw/news/176146 | 日期: 2026-05-27

內容摘要

Mandiant/GTIG研究發現日本學習管理系統 KnowledgeDeliver 存在重大漏洞 CVE-2026-5426(CVSS 9.1),駭客用於部署 Godzilla Webshell。

漏洞詳情

項目內容
CVECVE-2026-5426
CVSS9.1(重大)
影響範圍2026年2月24日前部署的KnowledgeDeliver
漏洞類型ASP.NET ViewState反序列化 → RCE
根本原因所有客戶部署使用完全相同的ASP.NET機器金鑰
修補日期2026年2月24日

攻擊鏈

  1. 未經身分驗證 → 繞過ViewState驗證 → 惡意ViewState反序列化 → RCE
  2. 植入 Godzilla(BlueBeam)Webshell(.NET,完全在記憶體執行)
  3. icacls 對IIS伺服器授予所有使用者完整存取權限
  4. 竄改平台 JavaScript 顯示偽造資安警示
  5. 誘騙用戶安裝惡意外掛或下載 Cobalt Strike Beacon

共用金鑰風險

所有客戶部署採用完全相同金鑰,攻擊者取得任一伺服器金鑰即可入侵所有暴露於網際網路的 KnowledgeDeliver 主機。

衍生頁面