SchwachstellenHackerangriffeMalware

Kritische Sicherheitslücke in Learning-Management-System: Godzilla-Webshell und Cobalt Strike im Einsatz

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Learning-Management-System: Godzilla-Webshell und Cobalt Strike im Einsatz
Zusammenfassung

Das Learning Management System KnowledgeDeliver des Herstellers Digital Knowledge wurde durch eine kritische Sicherheitslücke (CVE-2026-5426) kompromittiert, die es Angreifern ermöglichte, unbefugt Schadcode auszuführen. Die Schwachstelle basiert auf hart codierten ASP.NET-Schlüsseln in der Standard-Konfigurationsdatei, die für alle Installationen identisch waren. Dies ermöglichte es Bedrohungsakteuren, ViewState-Deserialisierungsangriffe durchzuführen und die Web-Shell Godzilla einzuschleusen. Von dort aus gelangten sie zu Cobalt Strike Beacon, einem Tool für fortgeschrittene Netzwerk-Intrusion. Das System war in Japan weit verbreitet und besonders bei Bildungseinrichtungen beliebt. Die Lücke betraf alle Installationen vor dem 24. Februar 2026 und wurde bereits als Zero-Day ausgenutzt. Für deutsche Organisationen ist dies relevant, da deutsche Schulen, Hochschulen und Unternehmen das System möglicherweise ebenfalls eingesetzt haben. Besonders besorgniserregend ist die Taktik: Angreifer manipulierten JavaScript-Dateien und zeigten gefälschte Sicherheitswarnungen an, um Nutzer zum Download von Malware zu verleiten. Dies demonstriert ein grundlegendes Sicherheitsrisiko bei gemeinsamen Geheimnissen in Deployment-Templates – eine kompromittierte Instanz gefährdet damit potentiell tausende weitere Systeme weltweit.

Die Schwachstelle CVE-2026-5426 offenbart ein fundamentales Problem in der Sicherheitsarchitektur von KnowledgeDeliver: Das System nutzte hardcodierte ASP.NET-Maschinenschlüssel in standardisierten web.config-Dateien, die vom Hersteller bereitgestellt wurden. Dies führt zu einer kritischen Situation, in der ein einziger kompromittierter Schlüssel potentiell Hunderte oder Tausende von Installationen gefährdet.

Die Angriffsmethode basiert auf ViewState-Deserialisierung, einem etablierten Angriffsvektor in der ASP.NET-Community. Sobald ein Angreifer die Maschinenschlüssel einer Installation erhält, kann er manipulierte ViewState-Payloads über den __VIEWSTATE-Parameter in HTTP-Requests an beliebige KnowledgeDeliver-Instanzen senden. Der Server deserialisiert die bösartige Payload und führt beliebigen Code aus.

In den beobachteten Angriffen setzten Threat Actor die Godzilla-Webshell (auch als BLUEBEAM bekannt) ein. Nach der initialen Kompromittierung modifizierten die Angreifer gezielt Dateisystemberechtigungen und manipulierten JavaScript-Dateien der Anwendung. Besonders raffiniert war die Implementierung einer gefälschten Sicherheitsmeldung, die Benutzer zur Installation eines “Sicherheit-Authentifizierungs-Plugins” aufforderte — in Wirklichkeit der Downloader für Cobalt Strike Beacon.

Google Mandiant dokumentierte dabei ein hohes Maß an Zielgerichtetheit: Die Malware-Payloads waren mit Schlüsseln verschlüsselt, die den Namen der Zielorganisation verwendeten. Dies deutet auf professionelle Angreifer hin, die ihre Kampagnen spezifisch vorbereiten.

Das Kernproblem liegt in der Praxis, gemeinsame Geheimnisse in Deployment-Templates zu verwenden. Für deutsche Unternehmen bedeutet dies konkret: Jede KnowledgeDeliver-Installation sollte eindeutige Maschinenschlüssel erhalten. Das BSI empfiehlt zusätzlich kontinuierliches Endpoint-Monitoring, um Deserialisierungsangriffe früh zu erkennen.

Digital Knowledge hat den Patch am 24. Februar 2026 bereitgestellt. Organisationen sollten sofort auf aktuelle Versionen upgraden und ihre Log-Dateien auf verdächtige ViewState-Aktivitäten prüfen. Die Tatsache, dass ähnliche Schwachstellen in Sitecore und Gladinet-Produkten existieren, unterstreicht ein systembreeites Risiko in ASP.NET-basierten Enterprise-Anwendungen.

Ähnliche Artikel