Kritična ranjivost u KnowledgeDeliver sistemu - napadaci sa BLUEBEAM web shellom
Aktivno iskorišćavana zero-day ranjivost u KnowledgeDeliver LMS omogućava ubacivanje BLUEBEAM web shell-a kroz deljene ASP.NET ključeve.
Šta se desilo?
Otkrivena je nova zero-day ranjivost u KnowledgeDeliver Learning Management System-u koju napadači aktivno iskorišćavaju u divljini. Preko CVE-2026-5426 omogućava se neovlašćeni pristup i izvršavanje koda na serverima koji koriste podrazumevane ASP.NET postavke. Nakon početnog pristupa, napadači ubacuju BLUEBEAM - web shell koji radi u memoriji i teško se detektuje.
Koga pogađa?
Ugrožene su preduzeća i edukativne ustanove koje koriste KnowledgeDeliver LMS, posebno one sa instalacijama pre 24. februara 2026. godine. Pošto se ranjivost odnosi na deljene enkripcijske ključeve između više klijentskih instanci, kompromitovanje jednog sistema može dovesti do ugrožavanja drugih nezavisnih organizacija.
Kako se zaštititi?
- Hitno zameni ASP.NET machine key jedinstvenim, kriptografski jakim vrednostima za svaku instalaciju
- Ograniči pristup LMS-u samo na pouzdane IP adrese
- Proverite Windows Application logove za ASP.NET Event ID 1316 koji ukazuju na neuspele validacije ViewState-a
- Praćenjem procesa - potražite sumnjive child procese poput cmd.exe ili powershell.exe koji se pokreću iz w3wp.exe
- Provera integriteta fajlova - monitoruj .js, .aspx i .config fajlove na neovlašćene izmene
- Sprovedi retrospektivnu analizu sistema kako bi identificirao znakove kompromitacije
- Budi oprezan sa anomalnim User-Agent stringovima koji kombinuju više pretraživača
Tehnički detalji
CVE-2026-5426 omogućava RCE kroz iskorišćavanje nezaštićenog ViewState mehanizma u ASP.NET. Napadači koriste reuse deljenih machine key vrednosti koje su hardkodirane u više instalacija. Koristeći obrađene payloade dostavljene kroz __VIEWSTATE parametar, forsira se deserijalizacija nepouzdanih podataka. BLUEBEAM (poznat i kao Godzilla) je .NET-bazirana web shell koja se izvršava isključivo u memoriji IIS radnog procesa (w3wp.exe), izbegavajući disk-bazirane detektovne mehanizme. Kommunicira preko enkriptovanih HTTP POST zahteva. U napadu je zabeležena i modifikacija dozvola fajl-sistema korišćenjem icacls, prosljeđivanje legitimnih JavaScript fajlova sa injektovanim zlonamernim kodom i socijalni inženjering koji vodi ka Cobalt Strike Beacon infekcijama sa ključevima izvedenim iz imena organizacije žrtve. Poznati indikator: BLUEBEAM payload "LoadLibrary.dll" sa SHA-256 heš vrednosti 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2.
Preporuka Sajber Radara
Organizacije koje koriste KnowledgeDeliver treba da odmah zamene deljene enkripcijske ključeve i sprovedu detaljnu analizu svojih sistema. Ova ranjivost je dokumentovana od strane Mandiant timea i predstavlja ozbiljan rizik jer jedan kompromitovani ključ može ugroziti više nevezanih institucija istovremeno.