สรุปสั้น

Google Mandiant และ Google Threat Intelligence Group (GTIG) รายงานการโจมตี Zero-day ต่อ KnowledgeDeliver แพลตฟอร์ม Learning Management System (LMS) ยอดนิยมของ Digital Knowledge ในญี่ปุ่น ช่องโหว่ CVE-2026-5426 (CVSS 7.5) เกิดจาก KnowledgeDeliver ใช้ machineKey ที่ hardcoded ตายตัวในไฟล์ web.config ที่ vendor แจกให้ทุก installation ใช้ร่วมกัน ทำให้ผู้โจมตีสามารถปลอมแปลง ViewState payload และรันโค้ดบนเซิร์ฟเวอร์โดยไม่ต้องล็อกอิน หลังเข้าระบบได้ผ่าน Godzilla web shell ผู้โจมตีแก้ไข JavaScript ของแอปเพื่อแสดง fake security alert หลอกให้ผู้เยี่ยมชมดาวน์โหลด installer ปลอม ซึ่งนำไปสู่การฝัง Cobalt Strike Beacon ในเครื่องของผู้ใช้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 26 พฤษภาคม 2569 อ้างรายงานของ Google Mandiant ว่าผู้โจมตีที่ยังไม่ระบุตัวตนใช้ช่องโหว่ใน KnowledgeDeliver ที่ส่งผลต่อ deployment ก่อนวันที่ 24 กุมภาพันธ์ 2569 ปัญหาหลักคือ Digital Knowledge แจก web.config template ที่มีค่า machineKey เดียวกันให้ทุก installation ใช้ ซึ่ง ASP.NET framework ใช้ key นี้ในการ encrypt และ sign ViewState payload การที่ key ตรงกันข้ามทุก installation หมายความว่า หากผู้โจมตีรู้ key จาก installation หนึ่ง ก็สามารถใช้โจมตี KnowledgeDeliver instance ที่เปิดบนอินเทอร์เน็ตทุกแห่งได้ทันที ผู้โจมตีส่ง HTTP request ที่มี __VIEWSTATE parameter ซึ่งบรรจุ malicious payload ที่ server จะ deserialize และ execute โดยอัตโนมัติ

รายละเอียดการโจมตีและ Payload

หลังจากเข้าควบคุมเซิร์ฟเวอร์ได้ ผู้โจมตีติดตั้ง Godzilla web shell (หรือเรียกอีกชื่อว่า BLUEBEAM) เพื่อรันคำสั่งและวางไฟล์เพิ่มเติมได้อย่างอิสระ จากนั้นยกระดับการควบคุมโดยการให้สิทธิ์ “Everyone” เข้าถึง web application directory อย่างสมบูรณ์ แล้วแก้ไขไฟล์ JavaScript ของแอปเพื่อแสดง fake security alert ที่บอกให้ผู้ใช้ติดตั้ง “security authentication plugin” พร้อมกันนั้นยังโหลด malicious script จาก domain ที่ผู้โจมตีควบคุมมาเพิ่มเติม เมื่อผู้ใช้ดาวน์โหลด fake installer ตามคำแนะนำ เครื่องของผู้ใช้จะถูกฝัง Cobalt Strike Beacon ที่ถูก encrypt ด้วย key ที่ใช้ชื่อองค์กรเป้าหมาย แสดงว่าผู้โจมตีเตรียม payload เฉพาะสำหรับแต่ละเป้าหมายโดยเฉพาะ Mandiant เตือนว่าช่องโหว่ประเภท hardcoded shared secret ใน deployment template มีความเสี่ยงสูงมาก เพราะการรั่วไหลของ key เพียงครั้งเดียวสามารถทำลาย ecosystem ของ installation ทั้งหมดพร้อมกัน

ผลกระทบต่อไทย

ประเทศไทยมีการใช้ระบบ LMS และ e-learning ที่พัฒนาด้วย ASP.NET จำนวนหนึ่ง โดยเฉพาะในสถาบันการศึกษาและองค์กรภาครัฐ ช่องโหว่ประเภท hard-coded machineKey นี้เคยถูกพบในซอฟต์แวร์อื่นด้วย ทีม IT ควรตรวจสอบว่าระบบ ASP.NET ในองค์กรไม่ได้ใช้ค่า machineKey จาก template หรือ default ที่ vendor ให้มา นอกจากนี้ผู้ใช้งาน LMS ใดก็ตามที่ได้รับ security alert แปลกๆ ให้ดาวน์โหลดซอฟต์แวร์เพิ่มเติมควรรายงานทีม IT ทันที เนื่องจากเป็นสัญญาณที่อาจบ่งชี้ว่า server กำลังถูก compromise

คำแนะนำ

  • ผู้ใช้ KnowledgeDeliver: อัปเดตให้พ้นเวอร์ชันที่มี hard-coded machineKey และปรึกษา Digital Knowledge โดยตรง
  • ระบบ ASP.NET ทั่วไป: ตรวจสอบ machineKey ใน web.config ให้เป็น unique random value ต่อ installation ห้ามใช้ค่าจาก vendor template
  • เฝ้าระวัง __VIEWSTATE parameter ที่ผิดปกติใน IIS/ASP.NET logs
  • ตรวจสอบ web application directory สำหรับไฟล์ .aspx หรือ .ashx ที่ไม่คาดคิด ซึ่งอาจเป็น web shell
  • แจ้งผู้ใช้ ให้ระวัง security popup ที่ให้ดาวน์โหลด plugin บน web application ขององค์กร

แหล่งอ้างอิง