企业培训系统正成为攻击者的新猎物。谷歌旗下安全公司Mandiant最新披露,日本Digital Knowledge公司开发的KnowledgeDeliver学习管理系统存在严重零日漏洞,已被黑客组织武器化,用于部署一种名为BLUEBEAM的内存型Web Shell。
这个编号CVE-2026-5426的漏洞核心问题在于ASP.NET的machineKey配置。该密钥本应保护ViewState数据——这是ASP.NET应用中维持页面状态的关键机制。但KnowledgeDeliver在多个客户部署中使用了完全相同的硬编码密钥,导致攻击者只需从单一实例获取密钥,即可伪造恶意ViewState载荷,在任意暴露的服务器上执行远程代码。
攻击路径并不复杂:黑客构造序列化载荷,通过HTTP请求中的__VIEWSTATE参数投递,迫使服务器反序列化不可信数据,从而完成RCE。这种手法与Sitecore平台及微软此前记录的machineKey泄露攻击如出一辙,属于已知攻击模式的复用。
真正棘手的是后续部署的BLUEBEAM。这款基于.NET的Web Shell又名Godzilla,与传统落地文件型木马不同,它完全驻留在IIS工作进程(w3wp.exe)的内存中运行。这意味着常规的文件扫描几乎无法发现其踪迹,取证难度大幅提升。其通信依赖加密HTTP POST请求,支持命令执行、载荷上传和持久化控制。
入侵并未止步于服务器层面。Mandiant发现攻击者利用icacls工具修改文件系统权限,扩大访问范围。更隐蔽的是,他们篡改了LMS内的合法JavaScript文件,注入恶意代码弹出虚假安全警报,诱导用户安装所谓"认证插件"。该插件实为Cobalt Strike Beacon载荷,且加密密钥竟源自受害组织的名称——表明攻击者事前已完成针对性侦察。
此次事件暴露的并非高深技术,而是基础配置管理的溃败。硬编码密钥、默认配置沿用、多租户环境共享凭证,这些本可通过安全开发生命周期规避的问题,最终演变为企业级供应链攻击的入口。对于依赖第三方LMS平台的组织而言,核查ASP.NET machineKey的独立性与轮换机制,已成为迫在眉睫的防御动作。
热门跟贴