Hackerlar, KnowledgeDeliver öğrenim yönetim sistemi (LMS) üzerinde kritik bir sıfır gün zafiyetini kullanarak Godzilla web shell’ini dağıttılar. Bu zafiyet, kimlik doğrulama gerektirmeden istismar edilebilen, CVE-2026-5426 koduyla takip edilen bir seri deserialization sorunudur.
Saldırı Nasıl Çalışıyor?
Tehdit aktörleri, makine anahtarını elde ederek ViewState deserialization saldırılarına yöneldiler ve kötü niyetli ViewState yüklemelerini imzalayarak işletim sistemi seviyesinde uzaktan kod yürütme gerçekleştirdiler. Mandiant, 2025 yılı sonunda KnowledgeDeliver sunucusuna yönelik bir saldırıya yanıt verdi ve zafiyetin başlangıçta sıfır gün olarak kullanıldığını bildirdi.
Bu istismar, “birçok müşteri dağıtımı arasında aynı önceden paylaşılmış ASP.NET makine anahtarlarının kullanılmasından” kaynaklandı. Araştırmacılar, 24 Şubat 2026’dan önce dağıtılan KnowledgeDeliver kurulumlarının tedarikçi tarafından sağlanan standart bir web.config dosyasına dayandığını, bu dosyanın ASP.NET çerçevesinin veri şifreleme ve imza işlemleri için kullandığı sabit makineAnahtarı değerleri içerdiğini ortaya koydu.
Araştırmacılara göre, platform üzerindeki kötü niyetli kod, kullanıcıları sahte bir yükleyici indirmeye ikna ederek Cobalt Strike beacon’ı ile makinenin enfekte olmasına neden oldu. Kötü niyetli yük, hedef organizasyonun adını içeren bir anahtar kullanılarak şifrelenmişti, bu da tehdit aktörünün bu yükü belirli bir hedef için özel olarak hazırladığını gösteriyordu.
Etkilenen Sistemler
Mandiant, tehdit aktörünün Godzilla (diğer adıyla BlueBeam) adlı .NET tabanlı bellek içi web shell’ini dağıttığını ve bunun, Microsoft tarafından da gözlemlenen benzer saldırılarda kullanıldığını bildirdi.
Ayrıca, 2024 yılı Ağustos ayında siber güvenlik şirketi ASEC, Godzilla’nın ViewState deserialization saldırılarında ASP.NET ortamlarında kullanıldığını rapor etti. KnowledgeDeliver örneklerini etkileyen tehdit aktörü, web sunucusunun dosya sistemi üzerindeki kontrollerini artıracak komutlar yürüttü ve bu sayede kullanıcıları “güvenlik kimlik doğrulama eklentisi” yüklemeye ikna eden bir uygulama JavaScript dosyasını değiştirdiler.
Çözüm ve Korunma
Son bir yıl içerisinde, hackerlar, çeşitli ürünlerin web platformlarına yönelik ViewState deserialization saldırılarında, kötü bir şekilde korunmuş makine anahtarlarını kullanarak saldırılar gerçekleştirdiler. Geçen yıl Mart ayında tehdit aktörleri, sabit bir makine anahtarını kötüye kullanarak Gladinet CentreStack’ın güvenli dosya paylaşım sunucularına erişim sağladılar. 2025 yılı Temmuz ayında hackerlar, makine anahtarını çalarak 85 Microsoft SharePoint sunucusunu etkisiz hale getirdiler.
- CVE-2026-5426 kodlu zafiyeti kontrol edin.
- KnowledgeDeliver kurulumlarını 24 Şubat 2026 tarihinden önce gerçekleştirenler güncellemelerini yapmalıdır.
- ASP.NET çerçevesinde kullanılan makine anahtarlarını korumalı ve özel anahtarlarla değiştirilmelidir.
Devlet destekli aktörler, ViewState deserialization saldırılarını, ASP.NET makine anahtarını açığa çıkaran Sitecore sunucularında keşif aracı olan WeepSteel’i dağıtmak için kullanmıştır.
Otomatik pentesting araçları gerçek bir değer sunar, ancak bir saldırganın ağda nasıl hareket edebileceğini test etmek için geliştirilmiştir. Koruma önlemlerinizin tehditleri engelleyip engellemediğini veya bulut yapılandırmalarınızın güvenliğini test etmek için tasarlanmamıştır.
Bu kılavuz, doğrulamanız gereken 6 yüzeyi kapsamaktadır.
