KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell
2026/05/25 CyberSecurityNews — KnowledgeDeliver における新たなゼロデイ脆弱性 CVE-2026-5426 が、実環境で活発に悪用され、BLUEBEAM インメモリ Web シェルが展開されていることが、Mandiant のインシデント・レスポンス調査により確認された。この脆弱性は、2026年2月24日以前のデフォルト ASP.NET コンフィグに依存する環境に影響を及ぼし、未認証のリモート・コード実行 (RCE) を引き起こす恐れがある。
Digital Knowledge により開発された KnowledgeDeliver は、Learning Management System (LMS) として企業/教育などの環境で広く利用されている。Mandiant による 2025年後半のインシデント調査で判明したのは、KnowledgeDeliver の安全でない暗号実装と、複数の顧客が共有する環境内での同一 ASP.NET マシンキーの再利用である。
これらのキーは、ASP.NET アプリケーションにおいてリクエスト間のページ状態を維持する、ViewState データの保護という役割を担っている。
KnowledgeDeliver LMS のゼロデイ脆弱性の悪用
この LMS のハードコードされたマシンキーが共有されているため、攻撃者は 1 つの環境から窃取したキーを使用して、公開されている他のサーバでも、悪意の ViewState ペイロードの再利用が可能となっていた。
シリアライズされたペイロードを作成し、HTTP リクエストの __VIEWSTATE パラメータ経由で送信する攻撃者は、サーバに安全でないデシリアライズを強制することで RCE を達成した。
この攻撃チェーンは、Sitecore や Microsoft が報告した、過去におけるマシンキー露出に関連する、ViewState デシリアライゼーション攻撃と極めて類似している。
初期侵入後の攻撃者は、BLUEBEAM を展開した。これは Godzilla としても知られる .NET ベースの Web シェルである。従来のファイルベース Web シェルとは異なり、BLUEBEAM は IIS ワーカー・プロセス (w3wp.exe) 内のメモリ上でのみで動作するため、フォレンジック痕跡を大幅に低減する。
さらに、このマルウェアは暗号化された HTTP POST リクエストを通じて通信を行うため、攻撃者はコマンド実行/ペイロード・アップロード/永続化を実現する一方で、従来のファイルベース検知メカニズムを回避できる。
この侵害は、サーバへの初期侵入に留まらない。攻撃者が icacls を使用してファイル・システム権限を変更し、広範なアクセス権を付与することで、侵害ホスト上のセキュリティ制御を弱体化させていたことも、Mandiant は確認している。
さらに、LMS 内の正規 JavaScript ファイルが改竄され、悪意のコードが挿入されている。このコードは、認証プラグインを装いながら、不正ソフトウェアのインストールを促す偽のセキュリティ警告を表示するものであり、攻撃者が管理するインフラから外部スクリプトをロードする。
このソーシャル・エンジニアリングにより、二次感染が発生する。偽プラグインをダウンロードしたユーザーは、広く悪用されているポスト・エクスプロイト・フレームワークである Cobalt Strike Beacon に感染した。
特筆すべきは、このペイロードが、被害組織名から導出された鍵で暗号化されている点だ。それにより示唆されるのは、攻撃者が事前に、標的環境を偵察していたことである。 この活動の検知は可能であるが、高度な監視が必要となる。たとえば、Windows Application ログには、ViewState 検証異常や失敗を示す ASP.NET Event ID 1316 が記録される場合があるが、それらを検出する必要がある。
一部のケースでは、”invalid ViewState” エラーが発生した場合でも、デシリアライズ処理が試行されているため、プロセス監視も重要となる。 Mandiant は、これらのログから、BLUEBEAM の活動に関連するエンコード済みペイロードの断片を回収している。
w3wp.exe から cmd.exe/powershell.exe が生成される場合には、悪用の兆候である可能性が高い。また、ファイルの整合性監視においては、.js/.aspx/.config ファイルへの不正変更や、外部スクリプト・ローダの挿入を検知可能である。
ネットワーク防御担当者は、不自然な User-Agent 文字列にも注意する必要がある。特に複数ブラウザ署名を連結した形式は、過去の ViewState 悪用キャンペーンで確認された特徴と一致している。
この脆弱性に対する唯一の有効な対策は、ASP.NET マシンキーを環境ごとに、一意かつ暗号学的に強固な値へと速やかにローテーションすることである。それに加えて、LMS へのアクセスを信頼済み IP の範囲に制限し、侵害痕跡を特定するための遡及的脅威ハンティングを実施する必要がある。
このキャンペーンに関連する既知の指標には、BLUEBEAM ペイロード “LoadLibrary.dll” が含まれる。その SHA-256 ハッシュ値は以下のとおりである:
“7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2”
このインシデントは、ソフトウェア・デプロイメント・テンプレートにおける共有シークレットがもたらす構造的リスクを浮き彫りにしている。単一の漏洩キーであっても、無関係な複数組織にまたがる大規模侵害へと発展する可能性がある。
こうした事態により強調されるのは、Secure by Default なコンフィグの重要性と、アプリケーション層に対する継続的な監視の必要性である。
訳者後書:KnowledgeDeliver の脆弱性 CVE-2026-5426 の原因は、システムの設定ファイルで管理される暗号鍵 (machineKey) が、複数の環境で共有されていたことにあります。 本来は各環境ごとに設定されるべき鍵が使い回されていたことで、 1 箇所での鍵の漏洩により、他のサーバでも悪意のあるデータが受け入れられる状況が生じました。このギャップを突く攻撃者は、 ViewState というデータの保護機能を無効化させ、不正なプログラムを実行させました。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.