ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตีเพื่อฝัง BLUEBEAM Web Shell

จากรายงานผลการตรวจสอบ และรับมือเหตุการณ์ของ Mandiant พบว่า มีการใช้ช่องโหว่ Zero-Day ที่เพิ่งเปิดเผยใหม่ในระบบ Learning Management System (LMS) ของ KnowledgeDeliver ไปใช้ในการโจมตีจริงเพื่อติดตั้ง Web shell แบบ In-Memory ที่ชื่อว่า BLUEBEAM

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-5426 ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน (Remote Code Execution) และส่งผลกระทบต่อระบบที่มีการตั้งค่า ASP.NET ตามค่า Default ก่อนวันที่ 24 กุมภาพันธ์ 2026

KnowledgeDeliver ซึ่งพัฒนาโดยบริษัท Digital Knowledge ในประเทศญี่ปุ่น เป็นระบบที่ถูกใช้งานกันอย่างแพร่หลายทั้งในระดับองค์กร และสถาบันการศึกษา การสืบสวนของ Mandiant ต่อเหตุการณ์การโจมตีในช่วงปลายปี 2025 เผยให้เห็นว่าสาเหตุของการถูกโจมตีนั้นมาจากแนวทางปฏิบัติด้านการเข้ารหัสที่ไม่ปลอดภัย โดยเฉพาะการนำ Machine Key ของ ASP.NET ที่เหมือนกันมาใช้ซ้ำในระบบของลูกค้าหลายราย

Keys เหล่านี้มีหน้าที่ในการรักษาความปลอดภัยของข้อมูล ViewState ซึ่งเป็นกลไกที่ใช้สำหรับรักษาสถานะของหน้าเว็บเพจในระหว่างที่มีการส่ง Request ในแอปพลิเคชัน ASP.NET

ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตี

เนื่องจากค่า machineKey ถูกฝังไว้แบบ Hardcoded และถูกใช้งานร่วมกัน ผู้โจมตีที่ได้ Keys เหล่านี้จากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง จึงสามารถสร้าง Payload ที่เป็นอันตรายของ ViewState และนำไปใช้ซ้ำเพื่อโจมตีเซิร์ฟเวอร์อื่น ๆ ที่ใช้งาน Keys เดียวกันได้

ด้วยการสร้าง Payload แบบ Serialized และส่งผ่านพารามิเตอร์ __VIEWSTATE ใน HTTP Request ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ทำการ Deserialize โดยใช้ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้สำเร็จ

รูปแบบการโจมตีแบบ Attack chain นี้ คล้ายคลึงอย่างมากกับการโจมตีแบบ ViewState Deserialization ที่เคยมีรายงานก่อนหน้านี้บนแพลตฟอร์มอย่าง Sitecore รวมถึงแคมเปญการโจมตีก่อนหน้าที่ Microsoft เคยเน้นย้ำซึ่งเกี่ยวข้องกับการรั่วไหลของ Machine Key

หลังจากที่โจมตีเข้าสู่ระบบในเบื้องต้นได้สำเร็จ ผู้โจมตีได้ทำการฝัง BLUEBEAM ซึ่งเป็น Web shell ที่ทำงานบน .NET (หรือที่รู้จักกันในชื่อ Godzilla) แตกต่างจาก Web shell แบบเดิมที่ต้องอาศัยไฟล์ที่จัดเก็บไว้ใน Disk เพราะ BLUEBEAM จะทำงานในหน่วยความจำทั้งหมดภายใต้โปรเซส IIS worker (w3wp.

Read more