Mandiant разкри атака срещу Learning Management System

Изследователи от Mandiant разкриха критична zero-day атака срещу сървър с KnowledgeDeliver Learning Management System (LMS), при която хакери са използвали неизвестна до момента уязвимост за внедряване на Godzilla web shell.

Уязвимостта, проследявана като CVE-2026-5426, представлява deserialization проблем, който може да бъде експлоатиран без автентикация.

Според анализа причината е използването на споделен hardcoded machine key в ASP.NET конфигурацията на всички клиентски инсталации на платформата.

Проблемът идва от еднакви machine key стойности

Според Mandiant всички инсталации на KnowledgeDeliver, внедрени преди 24 февруари 2026 г., са използвали стандартизиран web.config файл, предоставен от производителя.

Този файл е съдържал предварително зададени ASP.NET machineKey стойности, използвани за:

• криптиране;
• подписване на данни;
• защита на ViewState payload-и.

След като атакуващите са получили тези ключове, те са могли да създават валидно подписани злонамерени ViewState заявки и да постигнат remote code execution на ниво операционна система.

ViewState deserialization атаките отново са във фокуса

ViewState е механизъм в ASP.NET, използван за съхранение на състоянието на уеб приложенията между отделните заявки.

Когато machine key стойностите са известни или неправилно защитени, атакуващите могат да:

• генерират валидни ViewState payload-и;
• заобикалят защитите за целостта;
• изпълняват произволен код на сървъра.

Именно този механизъм е бил използван при атаката срещу KnowledgeDeliver.

Атаката е започнала като zero-day експлоатация

Според Mandiant инцидентът е започнал още в края на 2025 г., когато уязвимостта все още не е била публично известна.

Атакуващите първоначално са внедрили злонамерен скрипт в уеб платформата, който е убеждавал потребителите да изтеглят фалшив инсталатор.

След изпълнение системите са били заразявани с Cobalt Strike beacon, който е осигурявал постоянен бекдор достъп до инфраструктурата.

Изследователите отбелязват, че payload-ът е бил криптиран с ключ, базиран на името на компрометираната организация – индикация, че атаката е била подготвена специално за конкретната жертва.

Внедрен е Godzilla web shell

След първоначалния пробив хакерите са внедрили Godzilla – .NET-базиран in-memory web shell, известен още като BlueBeam.

Този инструмент позволява:

• дистанционно изпълнение на команди;
• управление на файловата система;
• качване на файлове;
• поддържане на скрит достъп;
• последваща lateral movement активност.

Според Mandiant атакуващите са използвали Godzilla, за да модифицират JavaScript файл на приложението и да показват фалшиво съобщение за инсталиране на „security authentication plugin“.

Скриптът е зареждал допълнителен malicious код от домейн под контрола на атакуващите.

Godzilla вече е използван в подобни ASP.NET атаки

Godzilla не се появява за първи път в подобни операции.

В края на 2024 г. Microsoft също е наблюдавала използването му в атаки срещу ASP.NET среди.

През август 2024 г. изследователи от ASEC съобщиха за ViewState deserialization кампании срещу финансовия сектор, при които отново е бил използван Godzilla web shell.

ViewState атаките се превръщат в нарастващ риск

През последните години неправилно защитените ASP.NET machine key стойности все по-често се използват при масови компрометирания на корпоративни платформи.

Сред известните инциденти са:

• атаките срещу Gladinet CentreStack през 2025 г.;
• компрометирането на 85 Microsoft SharePoint сървъра през юли 2025 г.;
• операции на държавно подкрепяни групи срещу Sitecore среди.

В някои от тези случаи атакуващите са използвали reconnaissance инструмента WeepSteel за събиране на информация и подготовка на последващи атаки.

Твърдо кодиранитe тайни остават сериозен проблем

Случаят с KnowledgeDeliver показва пореден пример за риска от:

• hardcoded credentials;
• shared cryptographic keys;
• insecure default configurations;
• повторно използване на machine key стойности между клиентски среди.

Подобни практики значително улесняват мащабни атаки, защото компрометирането на една инсталация често позволява атаки срещу множество организации.

Според анализатори това е особено опасно при:

• LMS платформи;
• SaaS среди;
• ASP.NET приложения;
• корпоративни уеб портали.

Организациите трябва да проверят ASP.NET конфигурациите си

Експертите по киберсигурност препоръчват организациите незабавно да:

• проверят за hardcoded machine keys;
• ротират ASP.NET machineKey стойностите;
• валидират ViewState конфигурациите;
• ограничат deserialization функционалности;
• наблюдават за необичайни ViewState заявки;
• търсят признаци за web shell активност.

Особено внимание се препоръчва при среди, използващи стари или vendor-provided ASP.NET конфигурации.