Peretas mengeksploitasi kerentanan kritis zero-day di server yang menjalankan sistem manajemen pembelajaran (LMS) KnowledgeDeliver untuk menyebarkan shell web Godzilla.
Cacatnya adalah masalah deserialisasi yang dilacak sebagai CVE-2026-5426 dan dapat dieksploitasi tanpa otentikasi. Hal ini berasal dari penggunaan kunci mesin hardcode bersama dalam konfigurasi portal web di seluruh penerapan pelanggan KnowledgeDeliver.
Deserialisasi ViewState
Pelaku ancaman memperoleh kunci mesin dan menggunakannya dalam serangan deserialisasi ViewState untuk menandatangani payload ViewState yang berbahaya dan mencapai eksekusi kode jarak jauh di tingkat sistem operasi.
Mandiant pada akhir tahun 2025 menanggapi serangan terhadap server KnowledgeDeliver dan mengatakan bahwa awalnya, kerentanan tersebut dieksploitasi sebagai zero-day untuk memasukkan skrip berbahaya ke dalam platform web.
Eksploitasi dimungkinkan karena penggunaan “kunci mesin ASP.NET yang dibagikan sebelumnya secara identik di beberapa penerapan pelanggan,” kata para peneliti.
“Instalasi KnowledgeDeliver yang diterapkan sebelum 24 Februari 2026 mengandalkan file web.config standar yang disediakan oleh vendor. File konfigurasi ini berisi nilai machineKey hardcode yang digunakan oleh kerangka kerja ASP.NET untuk mengenkripsi dan menandatangani data, termasuk payload ViewState,” jelas Mandiant.
Menurut para peneliti, kode berbahaya pada platform tersebut “meyakinkan pengguna untuk mengunduh penginstal palsu,” yang menyebabkan mesin terinfeksi dengan suar Cobalt Strike, yang pada dasarnya memasang pintu belakang.
“Muatan tersebut dienkripsi menggunakan kunci yang menggunakan nama organisasi yang disusupi, yang menunjukkan bahwa pelaku ancaman menyiapkan muatan ini secara khusus untuk organisasi yang ditargetkan,” Kata Mandiant dalam laporan hari ini.
Pengiriman cangkang web Godzilla
Mandiant mengatakan pelaku ancaman menyebarkan web shell dalam memori berbasis .NET, Godzilla (alias BlueBeam), yang juga telah digunakan dalam serangan serupa diamati oleh Microsoft pada akhir tahun 2024.
Pada Agustus 2024, para peneliti di perusahaan keamanan siber ASEC juga melakukan hal yang sama dilaporkan bahwa Godzilla sedang dikerahkan di lingkungan ASP.NET dalam serangan deserialisasi ViewState yang menargetkan perusahaan di sektor keuangan.
Mandiant mencatat bahwa pelaku ancaman yang menyusupi instance KnowledgeDeliver menjalankan perintah untuk meningkatkan kendali mereka atas sistem file server web.
Hal ini memungkinkan mereka untuk memodifikasi file JavaScript aplikasi dengan kode yang meminta pengguna untuk menginstal “plugin otentikasi keamanan” dan memuat skrip berbahaya dari domain di bawah kendali penyerang.
Selama setahun terakhir, peretas telah menggunakan kunci mesin yang tidak diamankan dengan benar dalam serangan deserialisasi ViewState yang menargetkan platform web untuk berbagai produk.
Pada bulan Maret tahun lalu, pelaku ancaman menyalahgunakan kunci mesin yang dikodekan secara keras untuk membuat muatan berbahaya yang memungkinkan akses ke server berbagi file aman Gladinet CentreStack.
Pada bulan Juli 2025, peretas menyusupi 85 server Microsoft SharePoint setelah mencuri kunci mesin untuk membuat payload ViewState berbahaya yang ditandatangani.
Aktor yang disponsori negara juga menggunakan serangan deserialisasi ViewState untuk menyebarkan alat pengintaian bernama WeepSteel di server Sitecore yang mengekspos kunci mesin ASP.NET.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
