SchwachstellenHackerangriffeDatenschutz

KnowledgeDeliver-Lücke: Gehackte Lernplattform als Einfallstor für Backdoors

Von CyberDeutsch Redaktion
KnowledgeDeliver-Lücke: Gehackte Lernplattform als Einfallstor für Backdoors
Zusammenfassung

Sicherheitsforscher von Google haben eine kritische Sicherheitslücke in KnowledgeDeliver, einem in Japan verbreiteten Lernmanagementsystem des Herstellers Digital Knowledge, aufgedeckt. Die Zero-Day-Schwachstelle (CVE-2026-5426) ermöglichte es Angreifern, Web Shells zu installieren und Systeme vollständig zu kompromittieren. Das Problem entstand durch hardcodierte „machineKey"-Werte in standardisierten Konfigurationsdateien, die in allen Installationen identisch waren. Mit dieser Information konnten Bedrohungsakteure gezielt ViewState-Deserialisierungsangriffe durchführen und damit Fernzugriff erlangen. Die Angreifer nutzten diese Zugriffe zur Deployment von Godzilla-Web Shells und letztendlich des Cobalt-Strike-Backdoors. Da KnowledgeDeliver vor allem von Unternehmen und Bildungseinrichtungen in Asien genutzt wird, sind insbesondere deutsche Organisationen mit internationalen Verbindungen betroffen. Für deutsche Behörden und Unternehmen, die eventuell KnowledgeDeliver-Instanzen betreiben, ist sofortige Aufmerksamkeit erforderlich: Sie sollten ihre Systeme auf Kompromittierungen überprüfen und dringend Machine Keys rotieren, um zukünftige Angriffe zu verhindern. Das Incident zeigt einmal mehr, wie kritisch sichere Konfigurationsverwaltung ist.

Die Ausnutzung der KnowledgeDeliver-Lücke folgt einem bewährten Angriffsmuster: Threat Actors mit Kenntnis der standardisierten machineKey-Werte konnten sogenannte ViewState-Deserialisierungsangriffe durchführen. Diese Schlüssel werden vom ASP.NET-Framework zur Verschlüsselung und Signatur von Daten verwendet. Sobald die Schlüssel bekannt sind, können Angreifer manipulierte ViewState-Payloads in HTTP-Anfragen einschleusen, die der Server dann automatisch deserialisiert — ohne die Manipulation zu erkennen.

Mandiant dokumentierte, dass die Angreifer in der Praxis die Godzilla-Web-Shell (auch als Bluebeam bekannt) einsetzten. Diese im Speicher laufende Malware ermöglichte es den Attackierenden, zusätzliche Befehle auszuführen, Dateiberechtigung zu manipulieren und sogar ein manipuliertes JavaScript in die Web-Anwendung einzuschleusen, das Benutzer zur Installation eines gefälschten Plugins aufforderte. Der nächste Schritt war dann die Installation eines Cobalt-Strike-Backdoors — ein professionelles Post-Exploitation-Framework, das häufig in gezielten Angriffen auf Unternehmen zum Einsatz kommt.

Besonders bemerkenswert: Die Cobalt-Strike-Payload war mit einem Schlüssel verschlüsselt, der den Namen der betroffenen Organisation enthielt. Das deutet darauf hin, dass die Angreifer diese Backdoor gezielt für spezifische Opfer präparierten — ein Zeichen höchst organisierter Cyberkrimineller oder staatlich unterstützter APT-Gruppen.

Ausgesprochen kritisch ist die Tatsache, dass alle KnowledgeDeliver-Installationen vor dem 24. Februar 2026 betroffen sind. Mandiant hat bereits Indikatoren für Kompromittierungen (Indicators of Compromise, IoCs) veröffentlicht und empfiehlt Organisationen, ihre Umgebungen auf verdächtige Aktivitäten zu überwachen.

Die sofort erforderlichen Maßnahmen sind klar: Betroffene Organisationen müssen die machineKey-Werte sofort rotieren, den Zugang zur LMS-Instanz einschränken und ihre Systeme auf Anzeichen bereits erfolgter Kompromittierungen überprüfen. Für deutsche Unternehmen und öffentliche Einrichtungen ist zusätzlich relevant, dass Datenschutzverletzungen, die durch diese Lücke entstehen, der zuständigen Datenschutzbehörde und im Ernstfall dem Bundesdatenschutzbeauftragten (BfDI) gemeldet werden müssen — im schlimmsten Fall drohen Bußgelder nach DSGVO. Digital Knowledge wird schnell ein Patch bereitstellen müssen.

Ähnliche Artikel