ハッカーは、**KnowledgeDeliver**学習管理システム（LMS）を実行しているサーバーにおけるクリティカルなゼロデイ脆弱性を悪用し、**Godzilla** Webシェルを展開しました。 ### CVE-2026-5426 脆弱性 この脆弱性は、**CVE-2026-5426**として追跡されているデシリアライゼーションの問題であり、認証なしで悪用可能です。これは、すべての**KnowledgeDeliver**顧客展開間でWebポータル構成における共有されたハードコードされたマシンキーの使用に起因します。この脆弱性は**Mandiant**によって開示されました。 ### ViewState デシリアライゼーション攻撃 脅威アクターはマシンキーを取得し、ViewStateデシリアライゼーション攻撃で使用して悪意のあるViewStateペイロードに署名し、オペレーティングシステムレベルでのリモートコード実行を達成しました。 **Mandiant**は2025年末に**KnowledgeDeliver**サーバーへの攻撃に対応し、この脆弱性が当初ゼロデイとして悪用され、Webプラットフォームに悪意のあるスクリプトが注入されたと判断しました。 「複数の顧客展開間で同一の事前共有ASP.NETマシンキーが使用されていたため、悪用が可能でした」と研究者は述べています。 「2026年2月24日より前に展開された**KnowledgeDeliver**のインストールは、ベンダー提供の標準化されたweb.configファイルに依存していました。この構成ファイルには、ASP.NETフレームワークがViewStateペイロードを含むデータを暗号化および署名するために使用するハードコードされたmachineKey値が含まれていました」と**Mandiant**は説明しています。 研究者によると、プラットフォーム上の悪意のあるコードは、「ユーザーに偽のインストーラーをダウンロードするように促し」、その結果、マシンが**Cobalt Strike**ビーコンに感染し、実質的にバックドアが仕掛けられました。 「ペイロードは、侵害された組織の名前を使用したキーで暗号化されており、脅威アクターが標的組織のためにこのペイロードを特別に準備したことを示唆しています」と**Mandiant**はレポートで述べています。 ### Godzilla Web シェルの配信 **Mandiant**によると、脅威アクターは.NETベースのインメモリWebシェルである**Godzilla**（別名BlueBeam）を展開しました。これは、2024年末に**Microsoft**が観測した類似の攻撃でも使用されていました。 2024年8月、**ASEC**の研究者も、**Godzilla**がASP.NET環境で、金融セクターの企業を標的としたViewStateデシリアライゼーション攻撃で展開されていると報告していました。 **Mandiant**は、**KnowledgeDeliver**インスタンスを侵害した脅威アクターが、Webサーバーのファイルシステムに対する制御をエスカレートするためにコマンドを実行したと指摘しています。 これにより、アプリケーションJavaScriptファイルに「セキュリティ認証プラグイン」をインストールするようにユーザーに促すコードと、攻撃者の管理下にあるドメインから悪意のあるスクリプトをロードするコードを挿入することが可能になりました。 ### ViewState デシリアライゼーション攻撃のパターン 過去1年間、ハッカーはViewStateデシリアライゼーション攻撃で不適切に保護されたマシンキーを使用して、さまざまな製品のWebプラットフォームを標的にしてきました。 昨年の3月、脅威アクターはハードコードされたマシンキーを悪用して悪意のあるペイロードを作成し、**Gladinet CentreStack**のセキュアファイル共有サーバーへのアクセスを可能にしました。 2025年7月、ハッカーはマシンキーを盗んで署名付きの悪意のあるViewStateペイロードを作成し、85台の**Microsoft SharePoint**サーバーを侵害しました。 国家支援の攻撃者も、ViewStateデシリアライゼーション攻撃を使用して、**Sitecore**サーバーにWeepSteelという偵察ツールを展開し、ASP.NETマシンキーを露出させました。  ## 検証のギャップ：自動ペネトレーションテストは1つの質問に答えます。あなたは6つ必要です。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたの管理が脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)