KnowledgeDeliver LMS硬编码machineKey致ViewState反序列化RCE漏洞遭利用
内容摘要
核心要点
KnowledgeDeliver LMS在2026年2月24日前的部署使用标准化web.config文件,其中包含硬编码的machineKey值(包括decryptionKey和validationKey)。由于所有客户实例共享相同密钥,攻击者一旦从任一部署获取密钥,即可攻击任何公网KnowledgeDeliver实例。漏洞CVE-2026-5426允许通过__VIEWSTATE参数发送恶意ViewState载荷,实现ASP.NET反序列化RCE。攻击者利用此漏洞部署了基于.NET的内存webshell BLUEBEAM(即Godzilla),运行在IIS worker进程(w3wp.exe)中,躲避文件扫描。后续活动包括使用icacls修改权限、篡改JavaScript文件以显示虚假安全警告并加载远程恶意脚本,最终通过伪造安装程序传播Cobalt Strike BEACON后门。Mandiant提供了狩猎方法:监控Event ID 1316(ASP.NET 4.0.30319.0)中的ViewState验证失败事件、w3wp.exe异常子进程(cmd.exe /c whoami等)、文件完整性监控(.js, .aspx, .config文件修改)以及异常User-Agent字符串。IOC包括BLUEBEAM的SHA-256哈希。
重要性说明
Digital Knowledge的标准化部署模板看似简化运维,实则通过硬编码共享密钥将安全边界完全摧毁。攻击面从单个实例的边界扩大到整个产品生态,任何薄弱环节都可成为突破口。这种设计本质上是为了降低支持成本而牺牲安全,是典型的厂商利益优先于用户安全。
此外,ViewState反序列化是ASP.NET框架已知的攻击面,但许多厂商仍忽视machineKey唯一性。此事件暴露了供应链安全中的“默认不安全”陷阱:企业采购LMS时无法审查底层密钥管理策略,完全依赖厂商的“最佳实践”。实际工程局限:即使企业后续旋转密钥,但攻击者可能已在文件中植入后门,需要全面审计。BLUEBEAM的内存驻留特性使得传统AV失效,需要EDR级监控。Cobalt Strike的针对性加密进一步表明攻击者进行了充分侦察。
PRO 决策建议
【厂商】竞争对手(如Moodle、Blackboard等)应利用此事件攻击Digital Knowledge的“一键部署但全局脆弱”模式。建议提供machineKey旋转审计工具,并公开其部署模板的安全审核流程,强调自身在密钥管理自动化和安全默认配置方面的优势。
【企业】CIO与架构师应立即对所有基于ASP.NET的LMS或内部应用进行machineKey唯一性审计。要求供应商提供安全配置证明,包括密钥生成策略和部署隔离。部署EDR监控w3wp.exe异常行为,启用ASP.NET ViewState MAC验证并确保EnableViewStateMac=true。对任何使用标准化模板的供应商进行渗透测试。
【投资者】此事件凸显软件供应链安全的审计价值,投资方向应转向提供安全配置自动化和漏洞检测平台的公司。Digital Knowledge的声誉受损可能影响其市场份额,但更值得关注的是整个LMS行业的安全合规成本上升。
觉得这篇分析有用?
每周收到3-5条AI基础设施关键信号 →
💬 评论 (0)