Šta se desilo?

Otkrivena je kritična ranjivost u sistemu za upravljanje učenjem KnowledgeDeliver koji je posebno popularan u Japanu. Napadači su iskoristili ovu grešku kao zero-day napad kako bi upisali Godzilla web shell i kasnije instalirali Cobalt Strike Beacon - alat često koriscen za napredne kibernetske operacije. Proizvodac je kasnije izdao zakrpu, ali je do tada stiglo do kompromitovanja.

Koga pogađa?

U prvom redu, obrazovne institucije i organizacije koje koriste Digital Knowledge KnowledgeDeliver LMS, posebno u Japanu i regionima gde je ovaj sistem rasprostranjen. Osim direktnog napada na infrastrukturu, kompromitovani sistemi mogu postati placdarma za dalji napad na mrežu i podatke korisnika - učenika i zaposlenih.

Kako se zaštititi?

  • Ažurirajte KnowledgeDeliver na najnoviju verziju sa dostupnom zakrpom čim je to moguće
  • Proverite serverske logove i pronađite tragove neobicne aktivnosti ili upload-ovanih datoteka
  • Koristite napredne alate za detekciju web shell-a i neobicnog mrežnog saobraćaja
  • Ogranicite pristup administrativnim funkcijama LMS-a samo autoritetnim korisnicima
  • Implementirajte Web Application Firewall (WAF) za filtrirance malicioznih zahteva
  • Redovno pratite bezbednosne obaveštaje vezana za javne LMS sisteme

Tehnički detalji

Ranjivost je registrovana kao CVE-2026-5426 sa CVSS skorom od 7.5 (visoki nivo ozbiljnosti). Problem leži u koriscenju hardkodirane ASP.NET mašinske ključe koje omogućavaju napadadačima da kreiraju zlonamerne datoteke i proslede ih sistemu. Godzilla web shell pruža napadadačima interaktivni pristup serveru, dok Cobalt Strike Beacon omogućava dalje kibernetske operacije i lateralno kretanje kroz mrežu.

Preporuka Sajber Radara

Ako koristite KnowledgeDeliver LMS, prioritet je hitna primena dostupne zakrpe. Preporuka je da odmah proverite logove kako biste utvrdili da li je do napada došlo pre nego što ste primenili ispravku, jer je ova ranjivost koriscena kao zero-day tokom perioda kada nije bila poznata javnosti.