日本學習管理系統KnowledgeDeliver存在零時差漏洞,駭客用於部署Godzilla
來源: iThome(ID: 612)| URL: https://www.ithome.com.tw/news/176146 | 日期: 2026-05-27
內容摘要
Mandiant/GTIG研究發現日本學習管理系統 KnowledgeDeliver 存在重大漏洞 CVE-2026-5426(CVSS 9.1),駭客用於部署 Godzilla Webshell。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE | CVE-2026-5426 |
| CVSS | 9.1(重大) |
| 影響範圍 | 2026年2月24日前部署的KnowledgeDeliver |
| 漏洞類型 | ASP.NET ViewState反序列化 → RCE |
| 根本原因 | 所有客戶部署使用完全相同的ASP.NET機器金鑰 |
| 修補日期 | 2026年2月24日 |
攻擊鏈
- 未經身分驗證 → 繞過ViewState驗證 → 惡意ViewState反序列化 → RCE
- 植入 Godzilla(BlueBeam)Webshell(.NET,完全在記憶體執行)
icacls對IIS伺服器授予所有使用者完整存取權限- 竄改平台 JavaScript 顯示偽造資安警示
- 誘騙用戶安裝惡意外掛或下載 Cobalt Strike Beacon
共用金鑰風險
所有客戶部署採用完全相同金鑰,攻擊者取得任一伺服器金鑰即可入侵所有暴露於網際網路的 KnowledgeDeliver 主機。