ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่ CVE-2026-5426 ใน KnowledgeDeliver เป็นระบบบริหารจัดการการเรียนรู้ (Learning Management System (LMS)) ที่พัฒนาโดย Digital Knowledge มีรายงานว่าถูกใช้โจมตีจริงแบบ Zero-Day แล้ว ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน และใช้เพื่อติดตั้ง Godzilla (BLUEBEAM) web shell รวมถึงแพร่ Cobalt Strike Beacon ไปยังผู้ใช้งานที่เข้าชมเว็บไซต์ได้[1]
1. รายละเอียดช่องโหว่
CVE-2026-5426 (CVSS v3.1: 7.5) เป็นช่องโหว่ที่เกิดจากการใช้ hard-coded ASP.NET/IIS machineKey ซ้ำกันในหลายระบบของ KnowledgeDeliver ส่งผลให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบความถูกต้องของ ViewState และนำไปสู่การโจมตีแบบ ViewState deserialization เพื่อรันโค้ดบนระบบได้โดยไม่ต้องยืนยันตัวตน[2]
ซึ่งระบบที่ติดตั้งก่อนวันที่ 24 กุมภาพันธ์ 2569 ใช้ไฟล์ web.config มาตรฐานจากผู้ผลิต ซึ่งมีค่า machineKey แบบเดียวกันในหลาย deployment ทำให้หากผู้โจมตีได้คีย์จากระบบหนึ่ง อาจนำไปใช้โจมตีระบบอื่นที่เปิดให้เข้าถึงจากอินเทอร์เน็ตได้
จากเหตุการณ์ที่ตรวจพบ ผู้โจมตีได้ติดตั้ง BLUEBEAM (Godzilla) web shell ภายใน IIS worker process เพื่อสั่งรันคำสั่งเพิ่มเติม
จากนั้นแก้ไขไฟล์ JavaScript ของแอปพลิเคชันให้แสดงข้อความแจ้งเตือนปลอม หลอกผู้ใช้งานให้ติดตั้ง “security authentication plugin” และนำไปสู่การติดตั้ง Cobalt Strike Beacon บนเครื่อง
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 KnowledgeDeliver ที่ติดตั้งก่อนวันที่ 24 กุมภาพันธ์ 2026
2.2 ระบบ KnowledgeDeliver ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
2.3 ระบบที่ยังใช้ไฟล์ web.config หรือค่า machineKey แบบเดิมร่วมกันหลายเครื่อง
2.4 เว็บเซิร์ฟเวอร์ที่ให้บริการผ่าน ASP.NET / IIS และมีความเสี่ยงต่อการถูกใช้โจมตีผ่าน ViewState deserialization
3. ผลกระทบที่อาจเกิดขึ้น
3.1 ผู้โจมตีอาจรันโค้ดบนระบบได้โดยไม่ต้องยืนยันตัวตน
3.2 ระบบอาจถูกฝัง web shell เพื่อใช้คงอยู่ในระบบและรับคำสั่งเพิ่มเติม
3.3 ผู้โจมตีอาจแก้ไขไฟล์ JavaScript หรือไฟล์ใน web root เพื่อฝังโค้ดอันตราย
3.4 ผู้ใช้งานที่เข้าชมเว็บไซต์อาจถูกหลอกให้ดาวน์โหลดไฟล์ปลอมและติด Cobalt Strike Beacon
3.5 ระบบอาจถูกใช้เป็นฐานในการโจมตีต่อเนื่อง หรือกระจายมัลแวร์ไปยังผู้ใช้งานภายในหน่วยงาน
4. แนวทางการแก้ไข
4.1 สร้าง machineKey ใหม่ มีความปลอดภัยสูงและไม่ซ้ำกันสำหรับแต่ละอินสแตนซ์ของ KnowledgeDeliver โดยทันที
4.2 ตรวจสอบว่าระบบยังมีการใช้งาน deployment หรือ configuration ที่สร้างก่อนวันที่ 24 กุมภาพันธ์ 2026 อยู่หรือไม่
4.3 ตรวจสอบไฟล์ใน web root โดยเฉพาะไฟล์ .js, .aspx และ .config เพื่อดูว่ามีไฟล์ใดถูกแก้ไข เพิ่ม หรือลบโดยไม่ได้รับอนุญาตหรือไม่
4.4 ตรวจสอบ process ที่ผิดปกติ โดยเฉพาะกรณีที่ w3wp.exe เรียกใช้โปรแกรมอื่น เช่น cmd.exe, powershell.exe หรือคำสั่งที่ไม่ควรเกิดขึ้น
4.5 หากพบสัญญาณที่อาจเกี่ยวข้องกับการโจมตี ให้ตรวจสอบข้อมูลย้อนหลัง และดำเนินการตามกระบวนการ incident response อย่างเหมาะสม
5. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
5.1 จำกัดการเข้าถึงระบบ LMS ให้เฉพาะ IP address หรือเครือข่ายที่จำเป็นต่อการใช้งานเท่านั้น
5.2 เฝ้าระวัง Windows Application Logs โดยเฉพาะ ASP.NET Event ID 1316 และข้อความผิดปกติที่เกี่ยวข้องกับ ViewState verification
5.3 เฝ้าระวังการทำงานของ w3wp.exe หากมีการเรียกใช้ cmd.exe, powershell.exe, whoami หรือ process อื่นที่ผิดปกติ
5.4 เปิดใช้งาน file integrity monitoring เพื่อตรวจจับการเปลี่ยนแปลงของไฟล์สำคัญ เช่น .js, .aspx และ .config
5.5 หากพบว่า JavaScript ถูกแก้ไข หรือพบข้อความแจ้งเตือนปลอมบนเว็บไซต์ ให้แยกระบบออกจากเครือข่ายทันที
แหล่งอ้างอิง