พบการโจมตีผ่านช่องโหว่ Zero-Day บนระบบ KnowledgeDeliver เพื่อติดตั้งเว็บเชลล์และฝังมัลแวร์

289/69 (IT) ประจำวันพฤหัสบดีที่ 28 พฤษภาคม 2569

มีรายงานการค้นพบกลุ่มแฮกเกอร์ทำการเจาะระบบผ่านช่องโหว่ความรุนแรงระดับวิกฤตแบบ Zero-day รหัส CVE-2026-5426 บนแพลตฟอร์มระบบบริหารจัดการการเรียนรู้ (LMS) ที่มีชื่อว่า KnowledgeDeliver โดยช่องโหว่ดังกล่าว อนุญาตให้ผู้โจมตีสามารถแอบรันคำสั่งอันตรายบนระบบปฏิบัติการได้จากระยะไกล โดยไม่ต้องผ่านการยืนยันตัวตน ภัยคุกคามนี้ส่งผลกระทบโดยตรงต่อองค์กรที่ใช้งานระบบดังกล่าว ในเวอร์ชันที่ถูกติดตั้งก่อนวันที่ 24 กุมภาพันธ์ 2026 ซึ่งถือเป็นภัยคุกคามที่มีความสำคัญอย่างยิ่ง เนื่องจากการโจมตีที่สำเร็จจะนำไปสู่การถูกเข้าควบคุมระบบเครือข่าย และนำไปสู่การฝังเครื่องมือเพื่อขโมยข้อมูล หรือสร้างความเสียหายในระดับโครงสร้างพื้นฐานขององค์กรได้

รายละเอียดของช่องโหว่นี้ มีต้นเหตุมาจากการที่ผู้พัฒนาตั้งค่ารหัสคีย์ (Machine Key) ของกรอบการทำงาน ASP.NET ไว้แบบตายตัวในไฟล์การตั้งค่า และถูกใช้งานซ้ำกันในหลายองค์กรที่เป็นลูกค้า ผู้โจมตีจึงอาศัยคีย์ดังกล่าว ร่วมกับเทคนิค ViewState Deserialization เพื่อรันคำสั่งอันตราย ซึ่งจากรายงานการตรวจสอบของ Mandiant พบว่าผู้โจมตีได้ลอบติดตั้งเว็บเชลล์ที่ทำงานในหน่วยความจำชื่อว่า Godzilla เพื่อยกระดับการควบคุมเว็บเซิร์ฟเวอร์ จากนั้นได้ทำการดัดแปลงไฟล์จาวาสคริปต์ของแอปพลิเคชัน เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดโปรแกรมติดตั้งปลอมที่อ้างว่าเป็นปลั๊กอินด้านความปลอดภัย ซึ่งแท้จริงแล้วคือมัลแวร์ประเภทแบ็คดอร์ Cobalt Strike ที่ถูกปรับแต่งมาเพื่อพุ่งเป้าโจมตีองค์กรนั้นๆ โดยเฉพาะ โดยเทคนิคการโจมตีผ่าน ViewState ในลักษณะนี้เคยถูกตรวจพบมาแล้วอย่างต่อเนื่องในระบบขององค์กรอื่นๆ เช่น Microsoft SharePoint และ Sitecore ในช่วงปีที่ผ่านมา

เพื่อเป็นการลดความเสี่ยงและป้องกันผลกระทบที่อาจเกิดขึ้น ผู้ดูแลระบบที่รับผิดชอบระบบ KnowledgeDeliver ควรเร่งตรวจสอบการตั้งค่าของเซิร์ฟเวอร์โดยทันที โดยเฉพาะการพิจารณาสร้างและเปลี่ยนค่า ASP.NET Machine Key ใหม่ ให้มีความปลอดภัย และไม่ใช้ค่าเริ่มต้นที่ซ้ำกับองค์กรอื่น รวมทั้งควรติดตามและอัปเดตแพตช์รักษาความปลอดภัยจากผู้พัฒนาผลิตภัณฑ์อย่างใกล้ชิด นอกจากนี้ หน่วยงานควรเพิ่มการเฝ้าระวังความผิดปกติในเครือข่าย ตรวจสอบการเปลี่ยนแปลงของไฟล์แอปพลิเคชันบนเว็บเซิร์ฟเวอร์ และควรแจ้งเตือนผู้ใช้งานทั่วไป ให้ระมัดระวังการดาวน์โหลดหรือติดตั้งโปรแกรมส่วนเสริมใดๆ ที่ถูกแจ้งเตือนผ่านหน้าเว็บไซต์ เพื่อป้องกันการตกเป็นเหยื่อของการฝังมัลแวร์ลงบนเครื่องคอมพิวเตอร์ส่วนบุคคล

แหล่งข่าว https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/