KnowledgeDeliverは、eラーニング統合プラットフォームです。
教材の作成・配信から学習、成績データの集計・進捗管理までを1つのシステムで完結できるのが特徴です。
専門的な知識がなくても映像やテストなどのWeb教材を作成できる「教材作成」、マルチデバイス(PC、スマホ、タブレット)でいつでも学べる「学習」、受講者の進捗状況や成績を一元管理できる「運用管理」を標準装備していることもあり、日本において、企業、官公庁、学校法人、医療機関など3,000以上の組織で導入されています。
このKnowledgeDeliverで脆弱性が確認されています。
- CVE-2026-5426
問題に対処されていないKnowledgeDeliverが動作している場合、認証なしで悪用される可能性があります。
これは、KnowledgeDeliverのすべての顧客環境において、Webポータル構成で共有されているハードコードされたマシンキーが使用されていることに起因します。
2026年2月24日より前に導入されたKnowledgeDeliverのインストールでは、ベンダーが提供する標準化されたweb.configファイルに依存していました。
この構成ファイルには、ViewStateペイロードを含むデータの暗号化と署名にASP.NETフレームワークが使用するmachineKeyの値がハードコードされていました。
このため、攻撃者はマシンキーを入手し、それを使用してViewStateの逆シリアル化攻撃を行い、悪意のあるViewStateペイロードに署名し、オペレーティングシステムレベルでのリモートコード実行を実現しました。
CVE-2026-5426によって侵害されたサーバは、次の段階の脅威活動の舞台に悪用されました。
脅威アクターはサーバ上に悪意あるコンテンツを配置し、システム利用者に偽のインストーラーをダウンロードさせるように仕向け、結果として、システム利用者の機器がCobalt Strikeビーコンに感染し、実質的にバックドアが仕掛けられた状態となってしまった事例が確認されています。
侵害の兆候の発見方法などの詳細は、すでに公開されています。
KnowledgeDeliverを運用している場合、速やかに調査を開始することが推奨されます。
Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability
https://cloud.google.com/blog/topics/threat-intelligence/knowledgedeliver-viewstate-deserialization-vulnerability?hl=en
mandiant/Vulnerability-Disclosures MNDT-2026-0009
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2026/MNDT-2026-0009.md
| この記事をシェア |
|
|---|
