Một lỗ hổng CVE zero-day vừa được công bố trong KnowledgeDeliver Learning Management System (LMS) đang bị khai thác tích cực để triển khai web shell in-memory BLUEBEAM. Theo kết quả điều tra sự cố, cảnh báo CVE này dẫn tới remote code execution (RCE) không cần xác thực trên các hệ thống dùng cấu hình ASP.NET mặc định trước ngày 24/02/2026.
Lỗ hổng CVE-2026-5426 Và Điều Kiện Bị Khai Thác
CVE-2026-5426 là lỗ hổng cho phép thực thi mã từ xa qua cơ chế xử lý ViewState của ASP.NET. Bản ghi chi tiết có thể tham chiếu tại CVE.org. Lỗ hổng CVE này ảnh hưởng các triển khai dựa trên cấu hình mặc định, đặc biệt khi sử dụng machine key dùng chung giữa nhiều phiên bản cài đặt.
KnowledgeDeliver là LMS được triển khai rộng rãi trong môi trường doanh nghiệp và giáo dục. Trong quá trình điều tra một vụ xâm nhập cuối năm 2025, nguyên nhân gốc được xác định là do insecure cryptographic practices, cụ thể là tái sử dụng cùng một ASP.NET machine key trên nhiều khách hàng khác nhau.
Cơ Chế Khai Thác ViewState
ASP.NET machine key được dùng để bảo vệ dữ liệu ViewState, cơ chế lưu trạng thái trang giữa các request. Khi các giá trị machineKey bị hardcode và chia sẻ, kẻ tấn công có thể lấy key từ một instance rồi tái sử dụng để tạo payload độc hại cho các máy chủ khác đang phơi lộ.
Chuỗi khai thác thường bắt đầu bằng việc gửi payload đã được tuần tự hóa qua tham số __VIEWSTATE trong HTTP request. Khi server giải tuần tự dữ liệu không đáng tin cậy, lỗ hổng CVE này bị kích hoạt và dẫn tới thực thi mã từ xa.
Các hoạt động này có nhiều điểm tương đồng với các cuộc tấn công deserialization ViewState từng thấy trên những nền tảng khác, cho thấy rủi ro bảo mật từ việc chia sẻ secret trong template triển khai là rất đáng kể.
BLUEBEAM Web Shell Và Hành Vi Sau Khai Thác
Sau khi có quyền truy cập ban đầu, tác nhân triển khai BLUEBEAM, một web shell viết bằng .NET còn được biết đến với tên Godzilla. Khác với web shell truyền thống lưu trên đĩa, BLUEBEAM hoạt động hoàn toàn trong bộ nhớ bên trong tiến trình IIS worker process w3wp.exe, làm giảm đáng kể dấu vết pháp y.
Web shell này giao tiếp qua các HTTP POST được mã hóa, cho phép thực thi lệnh, tải payload và duy trì hiện diện mà không dễ bị phát hiện bằng cơ chế quét dựa trên file.
Thao Tác Hệ Thống Bị Xâm Nhập
Quan sát điều tra cho thấy kẻ tấn công còn thay đổi quyền hệ thống tệp bằng icacls để cấp quyền truy cập rộng hơn trên máy chủ bị xâm nhập. Hành vi này làm suy yếu các kiểm soát bảo mật hiện có và mở rộng phạm vi thao tác hậu khai thác.
icacls <path> /grant Everyone:F /TBên cạnh đó, các tệp JavaScript hợp lệ trong LMS cũng bị sửa đổi để chèn mã độc. Đoạn mã này hiển thị cảnh báo bảo mật giả mạo, yêu cầu người dùng cài đặt một “authentication plugin”, trong khi đồng thời nạp script từ hạ tầng do đối tượng tấn công kiểm soát.
Thành phần social engineering này dẫn tới nhiễm thứ cấp. Người dùng tải plugin giả đã bị cài Cobalt Strike Beacon, một framework thường bị lạm dụng trong giai đoạn post-exploitation.
Đáng chú ý, payload được mã hóa bằng khóa suy ra từ tên của tổ chức nạn nhân, cho thấy có dấu hiệu trinh sát trước xâm nhập và nhắm mục tiêu cụ thể.
Dấu Hiệu Phát Hiện Xâm Nhập Cho Lỗ Hổng CVE Này
Việc phát hiện hoạt động liên quan đến lỗ hổng CVE-2026-5426 cần theo dõi cả hành vi ứng dụng và hệ thống. Nhật ký Windows Application có thể chứa ASP.NET Event ID 1316, cho thấy lỗi hoặc bất thường trong quá trình xác thực ViewState.
Trong một số trường hợp, payload được tạo đúng vẫn sinh lỗi “invalid ViewState” nhưng quá trình deserialize vẫn diễn ra. Nhật ký cũng có thể chứa các mảnh payload được mã hóa, liên kết trực tiếp với hoạt động của BLUEBEAM.
Giám sát tiến trình cũng rất quan trọng. Các tiến trình con đáng ngờ như cmd.exe hoặc powershell.exe được sinh ra từ w3wp.exe là chỉ báo điển hình của khai thác thành công. Ngoài ra, phát hiện tấn công nên bao gồm kiểm tra tính toàn vẹn file để tìm sửa đổi trái phép trên .js, .aspx hoặc .config, đặc biệt khi có thêm remote script loader.
Nhà phòng thủ mạng cũng nên theo dõi các chuỗi User-Agent bất thường, nhất là kiểu ghép nhiều dấu hiệu trình duyệt vào cùng một giá trị. Mẫu này từng xuất hiện trong các chiến dịch khai thác ViewState trước đây.
IOC Liên Quan Đến Chiến Dịch
Dưới đây là các IOC được ghi nhận trong chiến dịch này:
- Payload BLUEBEAM: LoadLibrary.dll
- SHA-256: 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2
- Tiến trình đáng ngờ: w3wp.exe tạo cmd.exe hoặc powershell.exe
- Nhật ký liên quan: ASP.NET Event ID 1316
- Thông số tấn công: __VIEWSTATE
Giảm Thiểu Rủi Ro Bảo Mật Và Cập Nhật Bản Vá
Biện pháp khắc phục hiệu quả nhất cho lỗ hổng CVE-2026-5426 là xoay vòng ngay lập tức các ASP.NET machine key sang giá trị duy nhất, đủ mạnh về mặt mật mã cho từng triển khai. Đây là bước bắt buộc vì việc chia sẻ secret là nguyên nhân trực tiếp dẫn tới khai thác diện rộng.
Tổ chức vận hành LMS cũng cần giới hạn truy cập theo trusted IP ranges và thực hiện hunting hồi cứu để tìm dấu hiệu bị xâm nhập. Việc kiểm tra nên bao gồm log ứng dụng, log hệ thống, thay đổi quyền file, và các script loader bên ngoài.
Với các môi trường còn dùng template triển khai sẵn, cần rà soát cấu hình mặc định, nhất là các giá trị liên quan đến machineKey. Trong ngữ cảnh này, cập nhật bản vá không đủ nếu secret đã bị lộ hoặc dùng chung giữa nhiều instance.
Điểm Kiểm Tra Kỹ Thuật Khi Điều Tra
Để hỗ trợ phát hiện xâm nhập, có thể ưu tiên kiểm tra các điểm sau:
- Log ASP.NET có lỗi ViewState hoặc Event ID 1316.
- Quan hệ tiến trình bất thường từ w3wp.exe sang shell hệ thống.
- File JavaScript hoặc cấu hình bị sửa đổi ngoài quy trình triển khai.
- HTTP request chứa __VIEWSTATE với chuỗi user-agent bất thường.
- Dấu hiệu web shell in-memory và script tải từ hạ tầng bên ngoài.
Chuỗi tấn công này cho thấy zero-day vulnerability trong lớp ứng dụng có thể lan rộng nhanh khi hệ thống dùng shared secret và cấu hình mặc định. Một key bị lộ từ một instance có thể mở đường cho xâm nhập trái phép trên nhiều máy chủ khác nhau, làm tăng mạnh nguy cơ bảo mật ở tầng ứng dụng.
