KnowledgeDeliver 취약점, 제로데이로 웹쉘 설치에 악용.
해커들은 KnowledgeDeliver 학습 관리 시스템(LMS)을 실행 중인 서버에서 중요한 제로데이 취약점을 악용해 Godzilla 웹 셸을 배포했습니다.
이 결함은 CVE‑2026‑5426으로 추적되는 역직렬화 문제이며 인증 없이도 악용될 수 있습니다. 이는 모든 KnowledgeDeliver 고객 배포 환경에서 웹 포털 구성에 사용되는 동일한 하드코딩된 머신 키 때문입니다.
ViewState 역직렬화
위협 행위자는 머신 키를 확보한 뒤 이를 ViewState 역직렬화 공격에 사용해 악성 ViewState 페이로드에 서명하고 운영 체제 수준에서 원격 코드 실행을 달성했습니다.
Mandiant는 2025년 말 KnowledgeDeliver 서버에 대한 공격에 대응했으며, 초기에는 취약점이 제로데이로 악용돼 웹 플랫폼에 악성 스크립트를 삽입했다고 밝혔습니다.
연구진은 “여러 고객 배포 환경에 걸쳐 동일한 사전 공유 ASP.NET 머신 키가 사용된 것이 악용을 가능하게 했다”고 설명했습니다.
“2026년 2월 24일 이전에 배포된 KnowledgeDeliver 설치는 공급업체가 제공한 표준화된
web.config파일에 의존했습니다. 이 구성 파일에는 ASP.NET 프레임워크가 데이터(예: ViewState 페이로드)를 암호화하고 서명하는 데 사용하는 하드코딩된machineKey값이 포함되어 있었습니다,” 라고 Mandiant는 설명합니다.
연구진에 따르면, 플랫폼에 삽입된 악성 코드는 “사용자에게 가짜 설치 프로그램을 다운로드하도록 설득”했으며, 이로 인해 머신이 Cobalt Strike 비콘에 감염되어 백도어가 심어졌습니다.
“페이로드는 침해된 조직의 이름을 사용한 키로 암호화되었으며, 이는 위협 행위자가 해당 조직을 위해 특별히 이 페이로드를 준비했음을 나타냅니다,” 라고 Mandiant는 오늘 보고서에서 말합니다.
Godzilla 웹 셸 배포
Mandiant는 위협 행위자가 .NET 기반 메모리 내 웹 셸인 Godzilla(일명 BlueBeam)를 배포했으며, 이는 2024년 말 Microsoft가 관찰한 유사한 공격에서도 사용됐다고 전했습니다.
2024년 8월, 사이버 보안 기업 ASEC의 연구원들은 Godzilla가 금융 부문 회사를 표적으로 하는 ViewState 역직렬화 공격에서 ASP.NET 환경에 배포되고 있다고 보고했습니다.
Mandiant는 KnowledgeDeliver 인스턴스를 장악한 위협 행위자가 웹 서버 파일 시스템에 대한 제어를 확대하기 위해 명령을 실행했으며, 이를 통해 애플리케이션 JavaScript 파일을 수정해 사용자에게 “보안 인증 플러그인”을 설치하도록 유도하고 공격자가 제어하는 도메인에서 악성 스크립트를 로드하도록 만들었다고 밝혔습니다.
지난 1년 동안 해커들은 다양한 제품의 웹 플랫폼을 목표로 ViewState 역직렬화 공격에서 제대로 보호되지 않은 머신 키를 악용해 왔습니다:
- 2024년 3월, 위협 행위자는 하드코딩된 머신 키를 악용해 악성 페이로드를 제작, Gladinet CentreStack의 보안 파일 공유 서버에 접근했습니다.
- 2025년 7월, 해커들은 머신 키를 탈취해 서명된 악성 ViewState 페이로드를 생성함으로써 85개의 Microsoft SharePoint 서버를 침해했습니다.
- 국가 지원 해커 그룹은 ViewState 역직렬화 공격을 이용해 Sitecore 서버에 WeepSteel이라는 정찰 도구를 배포했으며, 이를 통해 ASP.NET 머신 키가 노출되었습니다(출처).