سوءاستفاده از آسیب‌پذیری روز-صفر KnowledgeDeliver برای نصب Cobalt Strike

کمیته رکن چهارم – پژوهشگران امنیت سایبری از سوءاستفاده فعال از یک آسیب‌پذیری روز-صفر در سامانه مدیریت یادگیری KnowledgeDeliver خبر داده‌اند؛ نقصی که برای استقرار وب‌شل Godzilla و آلوده‌سازی سیستم‌ها به Cobalt Strike Beacon مورد استفاده قرار گرفته است.

به گزارش کمیته رکن چهارم، این آسیب‌پذیری با شناسه CVE-2026-5426 و امتیاز ۷.۵، نسخه‌های قدیمی پلتفرم Digital Knowledge KnowledgeDeliver را تحت تأثیر قرار می‌دهد. مشکل اصلی به استفاده از کلیدهای hard-coded در تنظیمات ASP.NET مربوط بوده که امکان حملات deserialization و اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم می‌کرد.

بر اساس گزارش Google Mandiant و Google Threat Intelligence Group، مهاجمان با سوءاستفاده از این نقص payloadهای مخرب ViewState را از طریق پارامتر __VIEWSTATE به سرور ارسال کرده و پس از آن وب‌شل Godzilla را روی سامانه نصب کرده‌اند. این وب‌شل به مهاجمان اجازه اجرای فرمان، بارگذاری فایل و استقرار ابزارهای بیشتر را می‌دهد.

در ادامه حمله، مهاجمان سطح دسترسی فایل‌های وب‌سرور را تغییر داده و سپس فایل‌های جاوااسکریپت سامانه را دستکاری کردند تا یک هشدار امنیتی جعلی به کاربران نمایش داده شود. این هشدار کاربران را به دانلود یک «افزونه احراز هویت امنیتی» ترغیب می‌کرد که در واقع نصب‌کننده Cobalt Strike Beacon بوده است.

گوگل اعلام کرده payload مورد استفاده برای هر سازمان به‌صورت اختصاصی آماده‌سازی شده و با استفاده از نام همان سازمان رمزگذاری شده است؛ موضوعی که نشان می‌دهد حملات به‌صورت هدفمند انجام شده‌اند.

پژوهشگران هشدار داده‌اند استفاده از کلیدها و اسرار مشترک در قالب‌های آماده استقرار می‌تواند کل اکوسیستم نرم‌افزار را در معرض compromise قرار دهد؛ زیرا افشای یک کلید امکان حمله به تمامی نمونه‌های مشابه را فراهم می‌کند.

پیش‌زمینه

سوءاستفاده از machine keyهای افشاشده ASP.NET نخستین‌بار در سال ۲۰۲۵ توسط مایکروسافت مستندسازی شد. پیش از این نیز محصولات دیگری مانند Sitecore XM و Gladinet CentreStack به دلیل مشکلات مشابه هدف حملات deserialization قرار گرفته بودند.

جمع‌بندی

کارشناسان امنیتی توصیه کرده‌اند سازمان‌ها از کلیدهای منحصربه‌فرد برای هر استقرار استفاده کرده و سامانه‌های آسیب‌پذیر را هرچه سریع‌تر به‌روزرسانی کنند. همچنین پایش مداوم تغییرات فایل‌های وب‌سرور و شناسایی دستکاری‌های غیرمجاز می‌تواند در جلوگیری از چنین حملاتی مؤثر باشد.

منبع: BleepingComputer

نفوذ به Hola Browser منجر به توزیع مخفیانه ماینر رمزارز شد

هشدار سیسکو درباره یک آسیب‌پذیری روز-صفر فعال در Catalyst SD-WAN Manager

مایکروسافت ابزارهای خط فرمان لینوکس را به‌صورت بومی به ویندوز آورد

گوگل قابلیت شناسایی تماس‌های جعلی مبتنی بر هوش مصنوعی را به اندروید اضافه کرد

آسیب‌پذیری روز-صفر VS Code امکان سرقت توکن‌های GitHub را فراهم می‌کند

آسیب‌پذیری بحرانی افزونه Kirki وردپرس در حملات فعال مورد سوءاستفاده قرار گرفت

OpenAI نسخه بهبودیافته GPT-5.5 را منتشر و مدل‌های قدیمی را بازنشسته می‌کند

حمله جست‌وجوی فراگیر رمز عبور برخی حساب‌های Dashlane را موقتاً مسدود کرد

مایکروسافت اختلال Microsoft Teams و Office for the Web را برطرف کرد

آلودگی نزدیک به ۲ هزار وب‌سایت وردپرسی با بدافزار مبتنی بر Steam Community

سوءاستفاده از آسیب‌پذیری روز-صفر KnowledgeDeliver برای نصب Cobalt Strike

درباره نویسنده

پست های مرتبط

پاسخ دهید

لغو پاسخ

پاسخ دهید

سهم

پاسخ دهید لغو پاسخ

پاسخ دهید

لغو پاسخ