Kaip sužinoti, ar mano organizacijos KnowledgeDeliver sistema pažeidžiama?

Patikrinkite, ar diegimas atliktas iki 2026 m. vasario 24 d. ir ar web.config faile esanti machineKey reikšmė yra standartinė, o ne unikaliai sugeneruota. „Mandiant" rekomenduoja kreiptis į gamintoją dėl atnaujinimo.

Ar ši ataka paveikia tik KnowledgeDeliver?

Ne. ViewState deserializacijos atakos yra platesnė problema, paveikusi „Gladinet CentreStack", „Microsoft SharePoint" ir kitas ASP.NET platformas. Bet kuri sistema su užkoduotu machineKey yra potencialus taikinys.

Ką daryti, jei sistema jau buvo sukompromituota?

Izoliuokite paveiktą serverį nuo tinklo, pakeiskite visus slaptažodžius ir raktus, perinstaliuokite sistemą iš švaraus atsarginio kopijos ir atnaujinkite web.config su unikaliu machineKey. Rekomenduojama įtraukti incidentų reagavimo komandą.

Pažeidžiamas be slaptažodžio: „KnowledgeDeliver" sistema turėjo visiems klientams vienodą raktą

Kai įmonė perka programinę įrangą, ji tikisi, kad gamintojas bent jau nesupakuos visų klientų su tuo pačiu šifravimo raktu. Deja, būtent taip nutiko su KnowledgeDeliver mokymosi valdymo sistema — ir pasekmės jau matomos.

„Mandiant" kibernetinio saugumo tyrėjai 2025 metų pabaigoje reagavo į ataką prieš vieną KnowledgeDeliver serverį. Tai, ką jie rado, buvo kur kas rimčiau nei eilinis įsilaužimas. Pažeidžiamumas buvo nulinės dienos — tai reiškia, kad gamintojas apie jį nežinojo, kol užpuolikai jau aktyviai juo naudojosi.

Kas tiksliai nutiko

Pažeidžiamumas, identifikuotas kaip CVE-2026-5426, yra deserializacijos klaida. Kalbant paprasčiau — sistema naudojo iš anksto nustatytą, visiems klientams vienodą ASP.NET machineKey reikšmę. Šis raktas naudojamas ViewState duomenims šifruoti ir pasirašyti. Užpuolikai, gavę šį raktą, galėjo sukurti savo kenkėjiškus ViewState paketus ir juos pasirašyti taip, tarsi jie būtų teisėti. Rezultatas — nuotolinis kodo vykdymas be jokio autentifikavimo.

// reklamaČia gali būti jūsų reklamaSusisiekite →

„KnowledgeDeliver diegimai, atlikti iki 2026 m. vasario 24 d., rėmėsi standartizuotu web.config failu, kurį pateikė gamintojas. Šiame faile buvo užkoduotos machineKey reikšmės", — aiškina „Mandiant".

Pradiniame atakos etape įsilaužėliai įskiepijo kenkėjišką scenarijų į žiniatinklio platformą. Šis kodas įtikinėjo vartotojus atsisiųsti netikrą diegimo programą — neva „saugumo autentifikavimo įskiepį". Iš tikrųjų programa užkrėsdavo kompiuterį „Cobalt Strike" švyturėliu, įrengdama atgalinės prieigos kanalą.

Godzilla grįžta į areną

Įsilaužėliai taip pat dislokavo „Godzilla" (dar žinomą kaip „BlueBeam") — .NET pagrindu veikiantį, atmintyje reziduojantį žiniatinklio apvalkalą. Šis įrankis leido jiems vykdyti komandas serveryje, keisti failų sistemą ir modifikuoti aplikacijos JavaScript failus.

Viena iškalbinga detalė: kenkėjiško krovinio šifravimo raktas naudojo sukompromituotos organizacijos pavadinimą. „Mandiant" teigimu, tai rodo, kad ataka buvo ruošiama konkrečiai šiai organizacijai — ne atsitiktinis taikinys, o tikslinė operacija.

„Godzilla" nėra naujokas kibernetinio saugumo pasaulyje. 2024 metų rugpjūtį Pietų Korėjos bendrovė ASEC pranešė, kad šis žiniatinklio apvalkalas buvo naudojamas ViewState deserializacijos atakose prieš finansų sektoriaus įmones. Tais pačiais metais „Microsoft" taip pat stebėjo panašias atakas.

Tai toli gražu ne pirmas kartas, kai užkoduoti raktai tampa masinių atakų priežastimi. 2025 metų kovą programišiai pasinaudojo užkoduotu raktu, kad gautų prieigą prie „Gladinet CentreStack" failų dalijimosi serverių. Tų pačių metų liepą įsilaužėliai sukompromitavo 85 „Microsoft SharePoint" serverius, pavogę machineKey reikšmę. Kai kuriais atvejais ViewState deserializacijos atakas naudojo ir valstybių remiami veikėjai, dislokuodami žvalgybinius įrankius.

„KnowledgeDeliver" gamintojas pažeidžiamumą ištaisė po 2026 m. vasario 24 d., tačiau visos anksčiau įdiegtos sistemos, nenaudojančios unikalaus rakto, lieka pažeidžiamos. Organizacijoms, naudojančioms šią mokymosi valdymo sistemą, rekomenduojama nedelsiant patikrinti web.config failo machineKey nustatymus ir, jei reikia, sugeneruoti unikalų raktą.

Dažnai užduodami klausimai

Kaip sužinoti, ar mano organizacijos KnowledgeDeliver sistema pažeidžiama?: Patikrinkite, ar diegimas atliktas iki 2026 m. vasario 24 d. ir ar web.config faile esanti machineKey reikšmė yra standartinė, o ne unikaliai sugeneruota. „Mandiant" rekomenduoja kreiptis į gamintoją dėl atnaujinimo.
Ar ši ataka paveikia tik KnowledgeDeliver?: Ne. ViewState deserializacijos atakos yra platesnė problema, paveikusi „Gladinet CentreStack", „Microsoft SharePoint" ir kitas ASP.NET platformas. Bet kuri sistema su užkoduotu machineKey yra potencialus taikinys.
Ką daryti, jei sistema jau buvo sukompromituota?: Izoliuokite paveiktą serverį nuo tinklo, pakeiskite visus slaptažodžius ir raktus, perinstaliuokite sistemą iš švaraus atsarginio kopijos ir atnaujinkite web.config su unikaliu machineKey. Rekomenduojama įtraukti incidentų reagavimo komandą.

Šaltiniai

KnowledgeDeliver flaw exploited as a zero-day to install web shellsBleepingcomputer · 2026
Mandiant reports on KnowledgeDeliver zero-dayCloud · 2026
ASEC reports Godzilla web shell in ViewState attacksAsec · 2026