日本學習管理系統KnowledgeDeliver存在零時差漏洞，駭客用於部署Godzilla

CVE-2026-5426源自於KnowledgeDeliver採用完全相同的ASP.NET機器金鑰，未經身分驗證的攻擊者可用於繞過ViewState驗證機制，並透過惡意的ViewState進行反序列化攻擊，最終可遠端執行任意程式碼（RCE），影響在今年2月24日之前部署的KnowledgeDeliver，CVSS風險評為9.1分，為重大等級。Mandiant於1月19日向軟體開發商Digital Knowledge通報此事，Digital Knowledge於2月24日實作新版部署工具解決弱點。Google表示，由於不同客戶部署的KnowledgeDeliver平臺採用完全相同的金鑰，換言之，若攻擊者從任一伺服器取得金鑰，他們就能入侵暴露在網際網路的其他學習管理平臺主機。

針對當時發現的攻擊活動，Google表示他們發現有駭客組織濫用相關權限，在KnowledgeDeliver平臺注入惡意程式碼，目的是感染存取該網站的使用者裝置。駭客在成功取得存取權限後，就會在該平臺植入以.NET打造的Webshell，此惡意程式被稱為Godzilla（BlueBeam），透過網頁伺服器IIS的處理程序啟動，並完全在記憶體執行，若是被攻擊的使用者試圖透過檔案掃描進行偵測，將難以察覺異常。攻擊者透過發送HTTP POST請求，向受害電腦下達更多命令，或是傳遞惡意酬載。

另一方面，攻擊者也試圖竄改檔案他們透過Windows內建的命令列工具icacls，對IIS網頁伺服器的「所有使用者」授予完整的存取權限，接著，他們試圖竄改某個網頁應用程式的JavaScript檔案，使得存取KnowledgeDeliver平臺的用戶電腦顯示偽造的警示訊息，並要求用戶安裝經過驗證的資安外掛程式。不過，也有部分會從攻擊者控制的網域，於背景下載惡意指令碼。但不論何種方式，最終駭客都是為了說服使用者下載冒牌安裝程式，導致電腦被感染Cobalt Strike的Beacon。