کمیته رکن چهارم – پژوهشگران امنیت سایبری از سوءاستفاده فعال از یک آسیبپذیری روز-صفر در سامانه مدیریت یادگیری KnowledgeDeliver خبر دادهاند؛ نقصی که برای استقرار وبشل Godzilla و آلودهسازی سیستمها به Cobalt Strike مورد استفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2026-5426 و امتیاز ۷.۵، نسخههای قدیمی پلتفرم Digital Knowledge KnowledgeDeliver را تحت تأثیر قرار میدهد. مشکل اصلی به استفاده از کلیدهای hard-coded در تنظیمات ASP.NET مربوط بوده که امکان حملات deserialization و اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم میکرد.
بر اساس گزارش Google Mandiant و Google Threat Intelligence Group، مهاجمان با سوءاستفاده از این نقص توانستهاند payloadهای مخرب ViewState را از طریق درخواستهای HTTP به سرور ارسال کنند. پس از نفوذ، وبشل Godzilla روی سرور نصب شده و امکان اجرای فرمان، بارگذاری فایل و استقرار ابزارهای بیشتر برای مهاجمان فراهم شده است.
در ادامه حمله، عامل تهدید فایلهای جاوااسکریپت سامانه را دستکاری کرده تا یک هشدار امنیتی جعلی به کاربران نمایش داده شود. این هشدار کاربران را به دانلود یک «افزونه امنیتی» ترغیب میکرد که در واقع نصبکننده بدافزار Cobalt Strike Beacon بود.
پژوهشگران اعلام کردند payload مورد استفاده بهصورت اختصاصی برای هر سازمان هدف تولید شده و با استفاده از نام همان سازمان رمزگذاری شده بود. این موضوع نشان میدهد حملات با دقت و هدفگذاری مشخص انجام شدهاند.
گوگل هشدار داده استفاده از اسرار مشترک و کلیدهای یکسان در قالبهای آماده استقرار میتواند کل اکوسیستم نرمافزار را در معرض compromise قرار دهد؛ زیرا افشای یک کلید، امکان حمله به تمامی نمونههای مشابه را فراهم میکند.
پیشزمینه
سوءاستفاده از machine keyهای افشاشده ASP.NET نخستینبار در سال ۲۰۲۵ توسط مایکروسافت مستند شد. پیش از این نیز محصولات دیگری مانند Sitecore و Gladinet به دلیل استفاده از کلیدهای مشابه هدف حملات deserialization قرار گرفته بودند.
جمعبندی
کارشناسان امنیتی تأکید کردهاند سازمانها باید از کلیدها و اسرار منحصربهفرد برای هر استقرار استفاده کنند و سامانههای خود را بهسرعت وصله کنند. همچنین پایش مداوم نقاط پایانی و بررسی تغییرات غیرمجاز در فایلهای وبسرور میتواند به شناسایی زودهنگام چنین حملاتی کمک کند.
منبع: The Hacker News
