KnowledgeDeliver LMS’de Kritik Zafiyet: Godzilla Web Shell ve Cobalt Strike Kullanıldı

Anasayfa » KnowledgeDeliver LMS’de Kritik Zafiyet: Godzilla Web Shell ve Cobalt Strike Kullanıldı
APT, Siber Saldırılar, Zafiyetler
Mayıs 26, 2026Mayıs 26, 2026Tarafından Cybernews.TR
0
KnowledgeDeliver LMS’de Kritik Zafiyet: Godzilla Web Shell ve Cobalt Strike Kullanıldı

Japonya merkezli popüler bir Öğrenim Yönetim Sistemi (LMS) olan KnowledgeDeliver, 2026 başlarında keşfedilen ve CVE-2026-5426 olarak takip edilen kritik bir güvenlik açığı nedeniyle hedef alındı. Bu zafiyet, sertifikasız uzaktan kod yürütülmesine olanak tanıyan ViewState deseralizasyon saldırısı yoluyla kötü amaçlı Godzilla web shell ve Cobalt Strike Beacon araçlarının dağıtımına zemin hazırladı.

Saldırının Genel Çerçevesi

Problemin kaynağı, ASP.NET framework’ünde kullanılan sabit kodlanmış machineKey değerlerinin vendor tarafından sağlanan standart web.config dosyasında yer almasıdır. Bu durum, bir saldırganın bir kurulumdan elde ettiği anahtarları kullanarak diğer internet erişimli KnowledgeDeliver örneklerini de ele geçirmesine imkan tanımaktadır. Saldırganlar, bu zafiyeti kullanarak web uygulamasına kötü amaçlı ViewState yükleri gönderip sunucuda kod çalıştırabiliyor.

İstismar sürecinde, saldırganların Godzilla (BLUEBEAM olarak da bilinen) web shell’i yükleyerek komut çalıştırma ve ek zararlı yazılımlar bırakma yetkisi kazandığı tespit edildi. Ayrıca, web sunucusundaki dosya sistemine tam erişim sağlamak için “Everyone” grubuna izinler verildi. Bu yetkilerle, uygulama JavaScript dosyaları değiştirilerek kullanıcıları sahte bir güvenlik uyarısı ve “güvenlik doğrulama eklentisi” yüklemeye ikna eden kötü amaçlı kodlar eklendi.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan zararlılar: Godzilla web shell, Cobalt Strike Beacon
  • Hedeflenen sistemler: KnowledgeDeliver LMS kurulumları, özellikle 24 Şubat 2026 öncesi sürümler
  • Zafiyet: CVE-2026-5426, ASP.NET ViewState deseralizasyonu (CVSS 7.5)
  • Saldırı adımları: Sabit machineKey kullanımı → ViewState manipülasyonu → Web shell yükleme → Yetki yükseltme → Sahte uyarı ve kötü amaçlı yükleme
  • Önerilen savunma: Unique machineKey değerleri kullanımı, düzenli yamalar, kapsamlı EDR ve SIEM çözümleri, endpoint izleme, ağ segmentasyonu

Siber Güvenlik Ekipleri İçin Öneriler

  • KnowledgeDeliver ve benzeri ASP.NET uygulamalarında machineKey değerlerinin benzersiz ve gizli tutulduğundan emin olun.
  • ViewState parametrelerini doğrulamak ve şifrelemek için ASP.NET güvenlik ayarlarını gözden geçirin.
  • EDR çözümleriyle anormal dosya değişikliklerini ve yetki yükseltme aktivitelerini izleyin.
  • SIEM sistemlerinde ViewState ile ilgili olağandışı HTTP isteklerini tespit edecek kurallar oluşturun.
  • Web uygulaması dosyalarına erişim izinlerini en aza indirerek “Everyone” gibi geniş erişim gruplarını kaldırın.
  • Kullanıcıları sahte güvenlik uyarıları ve eklenti yüklemelerine karşı bilinçlendirin.
  • Güvenlik yamalarını düzenli olarak uygulayın ve otomatik güncelleme mekanizmalarını kullanın.
  • Ağ segmentasyonu ile LMS sistemlerini kritik altyapıdan izole edin.

Sonuç ve Değerlendirme

KnowledgeDeliver’deki bu zafiyet, paylaşılan gizli anahtarların kullanımının ne denli riskli olduğunu bir kez daha gösterdi. Aynı anahtarların birden fazla kurulumda kullanılması, saldırganların geniş çaplı erişim elde etmesine olanak sağladı. Bu tür deseralizasyon saldırılarına karşı, benzersiz anahtar yönetimi ve kapsamlı izleme çözümleri kritik öneme sahiptir. Ayrıca, sahte yükleyiciler ve sosyal mühendislik taktikleriyle birleşen bu saldırılar, e-posta güvenliği ve olay müdahale süreçlerinin de güçlendirilmesini gerektiriyor.

, , , , , ,