В LMS KnowledgeDeliver, популярной в Японии, нашли критичную уязвимость CVE-2026-5426. До патча её использовали как нулевой день: атакующие внедряли Godzilla web shell, а затем загружали Cobalt Strike Beacon.
Проблема затронула установки Digital Knowledge KnowledgeDeliver, которые были развернуты до 24 февраля 2026 года. По оценке Google Mandiant и Google Threat Intelligence Group, злоумышленники получали удалённый запуск кода без авторизации через злоупотребление ключами ASP.NET, прописанными прямо в шаблоне поставки.
Что произошло в KnowledgeDeliver
Исследователи описали цепочку атаки как сочетание старой ошибки разработки и свежей эксплуатации. В шаблоне web.config использовались заранее заданные machineKey-значения, одинаковые для многих установок.
Это опасно само по себе: если один ключ утекает или его удаётся подобрать, под угрозой оказываются и другие интернет-доступные экземпляры той же системы. Такой сценарий уже напоминал истории с атакой на CMS и платформы, где одна ошибка в конфигурации открывает путь сразу в несколько организаций — похожую логику можно увидеть в разборе атаки через уязвимость в Ghost CMS.
Как это работало технически
ASP.NET хранит состояние страницы через ViewState. Если атакующий знает machineKey, он может собрать вредоносный ViewState-пакет и отправить его в HTTP-запросе через параметр __VIEWSTATE.
После этого сервер десериализует подложенные данные и выполняет код. Именно так злоумышленники получили доступ к веб-серверу, развернули Godzilla и начали управлять файлами приложения.
Дальше они пошли по классической схеме: расширили права на каталог приложения, изменили JavaScript-файл и встроили в него ложное предупреждение о безопасности. Пользователю показывали сообщение о якобы нужном «плагине аутентификации», а затем подсовывали фальшивый установщик.
Почему это опасно
Угроза здесь не в одном заражённом сервере. Злоумышленник получает точку входа в веб-приложение, может подменять контент для посетителей и незаметно доставлять вредоносные файлы.
В этой кампании финальной нагрузкой стал Cobalt Strike Beacon — инструмент, который часто используют для закрепления в сети и последующих атак. Когда одна и та же секретная связка лежит в десятках установок, риск растёт не линейно, а лавинообразно.
Как понять, что проблема касается вас
Под ударом могут оказаться организации, которые используют KnowledgeDeliver или похожие продукты с одинаковыми ключами в конфигурации. Особенно тревожный признак — если система стоит в интернете, а в шаблонах поставки никто не менял стандартные секреты после установки.
Ещё один сигнал — странные правки в веб-каталогах, неожиданные изменения JavaScript-файлов, а также попытки загрузки неизвестных установщиков с подставных доменов. Если на рабочей станции или сервере замечены признаки Cobalt Strike, это уже не мелкий инцидент, а повод срочно изолировать узел.
Для домашних пользователей эта история — напоминание о другом: даже один сервер или сервис может стать воротами для подмены страниц и кражи учётных данных. Если вы часто работаете с корпоративными порталами из дома, полезно заранее выстроить безопасную схему подключения и маршрутизации трафика; для этого можно рассмотреть инструмент для защищённой приватной сессии как часть личной цифровой гигиены.
Как защититься
Google советует перейти на уникальные secrets для каждой установки и внимательно следить за эндпоинтами. Это базовая, но важная мера: одинаковые ключи в шаблонах разрушают саму идею изоляции между инсталляциями.
Администраторам стоит проверить конфигурации, заменить предсказуемые значения, закрыть лишний внешний доступ и включить мониторинг изменений в веб-каталогах. Если приложение уже работает в продакшене, полезно отдельно просмотреть журналы на предмет подозрительных запросов с __VIEWSTATE и любых незнакомых правок файлов.
Практический чек-лист
- Проверить, нет ли в конфигурации KnowledgeDeliver или похожих систем одинаковых machineKey-значений между установками.
- Сравнить шаблонный web.config с фактической конфигурацией на сервере и убрать стандартные секреты.
- Просмотреть логи на подозрительные запросы с параметром __VIEWSTATE и необычные ошибки десериализации.
- Проверить веб-каталог на чужие JavaScript-правки, новые файлы и незнакомые web shell.
- Изолировать узлы, где замечены признаки Godzilla или Cobalt Strike Beacon.
- Ограничить внешний доступ к админским и сервисным разделам, если это возможно по рабочему процессу.
- Настроить мониторинг изменений файлов приложения и срочные оповещения о правках в веб-каталогах.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.