KnowledgeDeliver 漏洞被作为零日利用以安装 Web Shell

黑客利用运行 KnowledgeDeliver 学习管理系统（LMS）的服务器中的一个关键零日漏洞，部署了 Godzilla Web Shell。

该缺陷是一个反序列化问题，被追踪为 CVE-2026-5426，可在无需身份验证的情况下被利用。其根源在于所有 KnowledgeDeliver 客户部署的 Web 门户配置中使用了共享的硬编码机器密钥（machine key）。

ViewState 反序列化

威胁行为者获取了机器密钥，并将其用于 ViewState 反序列化攻击，以签署恶意 ViewState 负载，从而实现操作系统级别的远程代码执行。

Mandiant 在 2025 年末响应了一起针对 KnowledgeDeliver 服务器的攻击，并表示最初该漏洞是作为零日被利用，向 Web 平台注入了恶意脚本。

研究人员指出：“由于在多个客户部署中使用了‘相同的预共享 ASP.NET 机器密钥’，使得利用成为可能。”

Mandiant 解释道：“2026 年 2 月 24 日之前部署的 KnowledgeDeliver 安装依赖于供应商提供的标准化 web.config 文件。该配置文件包含 ASP.NET 框架用于加密和签署数据（包括 ViewState 负载）的硬编码 machineKey 值。”

据研究人员称，平台上的恶意代码“诱使用户下载虚假安装程序”，导致机器感染了 Cobalt Strike 信标，实质上植入了一个后门。

Mandiant 在今天的报告中表示：“该负载使用了一个包含被入侵组织名称的密钥进行加密，这表明威胁行为者是专门为该目标组织准备了此负载。”

Godzilla Web Shell 投递

Mandiant 表示，威胁行为者部署了基于 .NET 的内存 Web Shell——Godzilla（又名 BlueBeam），微软在 2024 年末观察到的类似攻击中也使用了该 Shell。

网络安全公司 ASEC 的研究人员在 2024 年 8 月也曾报告称，Godzilla 被部署在针对金融行业公司的 ASP.NET 环境的 ViewState 反序列化攻击中。

Mandiant 指出，入侵 KnowledgeDeliver 实例的威胁行为者执行了命令，以升级其对 Web 服务器文件系统的控制。

这使得他们能够修改应用程序 JavaScript 文件，加入提示用户安装“安全认证插件”的代码，并从攻击者控制的域加载恶意脚本。

在过去的一年中，黑客利用配置不当的机器密钥，在针对各种产品 Web 平台的 ViewState 反序列化攻击中得手。

去年 3 月，威胁行为者滥用硬编码机器密钥 crafted 恶意负载，从而访问了 Gladinet CentreStack 的安全文件共享服务器。

2025 年 7 月，黑客在窃取机器密钥以创建签名的恶意 ViewState 负载后，入侵了 85 台 Microsoft SharePoint 服务器。

国家支持的攻击者也利用 ViewState 反序列化攻击，在暴露了 ASP.NET 机器密钥的 Sitecore 服务器上部署了名为 WeepSteel 的侦察工具。