كشفت تقارير أمنية حديثة عن استغلال ثغرة أمنية خطيرة في نظام إدارة التعلم الياباني KnowledgeDeliver LMS، أدت إلى نشر أدوات هجومية متقدمة مثل Godzilla Web Shell وCobalt Strike Beacon. الثغرة، التي تحمل الرمز CVE-2026-5426، حصلت على تقييم خطورة مرتفع (CVSS 7.5)، وتم إصلاحها مؤخراً بعد أن استُغلت كـ هجوم يوم صفر.
تفاصيل الثغرة وآلية الاستغلال
المشكلة تعود إلى استخدام مفاتيح ASP.NET machineKey ثابتة داخل ملف التهيئة (web.config)، ما سمح بتنفيذ أوامر عن بُعد عبر هجوم ViewState Deserialization. هذه المفاتيح، التي تُستخدم لتشفير وتوقيع البيانات، كانت موحدة عبر عدة عمليات نشر، مما جعل أي مفتاح مسرّب صالحاً لاختراق أنظمة أخرى. وفقاً لتقارير Google Mandiant وGTIG، استغل المهاجمون هذه الثغرة لحقن شيفرات خبيثة داخل النظام، ما أدى إلى إصابة المستخدمين الذين يتفاعلون مع المنصة التعليمية.
نشر Godzilla Web Shell
بعد الحصول على الوصول غير المصرح به، قام المهاجمون بزرع Godzilla (المعروف أيضاً بـ BLUEBEAM)، وهو Web Shell يمنحهم القدرة على تنفيذ أوامر مباشرة على الخادم أو إسقاط حمولة إضافية. من بين الأوامر التي نُفذت، منح صلاحيات كاملة لمجلد التطبيق لجميع المستخدمين، ما سمح لهم بالتحكم الكامل في الملفات. كما تم التلاعب بملف JavaScript تابع للتطبيق ليعرض رسالة أمنية مزيفة تحث المستخدمين على تثبيت “إضافة تحقق أمني”، كانت في الواقع أداة خبيثة.
تحميل Cobalt Strike Beacon
التعديلات غير المصرح بها سمحت بتحميل سكربت خبيث من نطاق يسيطر عليه المهاجمون، والذي بدوره خدع المستخدمين لتنزيل مثبت مزيف. هذا المثبت زرع Cobalt Strike Beacon على الأجهزة المستهدفة، وهي أداة متقدمة تُستخدم عادةً في اختبارات الاختراق لكنها أصبحت شائعة في الهجمات السيبرانية. اللافت أن الحمولة كانت مشفرة باستخدام اسم المؤسسة المستهدفة، ما يشير إلى أن المهاجمين خصصوا الهجوم لكل ضحية على حدة.
المخاطر والدروس المستفادة
تُبرز هذه الحادثة خطورة استخدام أسرار مشتركة في قوالب النشر، حيث يمكن لمفتاح واحد مسرّب أن يهدد منظومة كاملة من التطبيقات. كما تؤكد على أهمية اعتماد مفاتيح فريدة لكل عملية نشر، وتفعيل آليات مراقبة قوية لاكتشاف محاولات الاستغلال المبكر. الهجوم يذكّر أيضاً بحوادث مشابهة استهدفت منصات مثل Sitecore Experience Manager وGladinet CentreStack وTrioFox، ما يعكس اتساع نطاق استغلال ثغرات ASP.NET في أنظمة إدارة المحتوى والخدمات السحابية.
