### ハードコードされたキーがリモートコード実行を可能に **CVE-2026-5426**（CVSSスコア: 7.5）として追跡されているこの脆弱性は、KnowledgeDeliver内でハードコードされたASP.NETマシンキーが使用されていることに起因します。この重大な見落としにより、ViewStateのデシリアライゼーション攻撃を通じて、認証されていないリモートコード実行が可能になりました。公開されているASP.NETマシンキーの危険性は、2025年2月に**Microsoft**によって以前に強調されていました。 **Google Mandiant**および**Google Threat Intelligence Group (GTIG)**によると、攻撃者はLMSプラットフォームに悪意のあるコードを注入して、サイト訪問者を感染させていました。 ### 影響と対策 このセキュリティ上の欠陥は、2026年2月24日より前のKnowledgeDeliverのデプロイメントに影響を与えました。同様の脆弱性は、**Sitecore Experience Manager** (XM) や **Gladinet CentreStack and TrioFox**などの他のプラットフォームでも以前に悪用されています。 ### 技術的詳細 根本原因は、ベンダーによって提供される標準化された`web.config`ファイルにあり、ASP.NETフレームワークがViewStateペイロードを含むデータの暗号化と署名に使用するハードコードされた`machineKey`値が含まれています。これは、1つのデプロイメントを侵害すると、他のデプロイメントも侵害される可能性があることを意味します。 「ASP.NET ViewStateは、ポストバック間でページのステートを保持します」とGoogleは説明しています。「`machineKey`がわかっている場合、脅威アクターは悪意のあるViewStateペイロードを作成できます。このペイロードをHTTPリクエスト（`__VIEWSTATE`パラメータ経由）で送信することにより、脅威アクターはサーバーにそれをデシリアライズさせることができます。」 ### 攻撃チェーン：WebシェルからCobalt Strikeへ CVE-2026-5426の観測された悪用には、**Godzilla**（別名BLUEBEAM）Webシェルの展開が含まれていました。これにより、攻撃者はコマンドを実行し、追加のペイロードをドロップする能力を得ました。攻撃者は、Webアプリケーションディレクトリへの「Everyone」の完全なアクセスを許可することにより、Webサーバーのファイルシステム上で権限を昇格させました。 その後、JavaScriptファイルを改ざんして偽のセキュリティアラートを表示させ、ユーザーに偽の「セキュリティ認証プラグイン」をインストールするように促しました。これにより、攻撃者が制御するドメインから悪意のあるスクリプトがステルス的にロードされ、最終的にユーザーは偽のインストーラーをダウンロードし、マシンをCobalt Strike Beaconに感染させることができました。 Googleは、ペイロードが侵害された組織の名前を含むキーを使用して暗号化されていたと指摘しており、これは標的型攻撃を示唆しています。 ### 教訓と緩和策 このインシデントは、デプロイメントテンプレートで共有シークレットを使用することに伴う重大なリスクを浮き彫りにしています。組織は、デシリアライゼーション攻撃から防御するために、固有のシークレットと堅牢なエンドポイント監視を実装する必要があります。