Une vulnérabilité critique de type zero-day dans le système de gestion de l’apprentissage KnowledgeDeliver est actuellement exploitée pour déployer le web shell en mémoire BLUEBEAM. Cette vulnérabilité, identifiée sous le code CVE-2026-5426, permet une exécution de code à distance sans authentification et affecte tous les systèmes utilisant les configurations ASP.NET par défaut antérieures au 24 février 2026. Développé par l’entreprise japonaise Digital Knowledge, KnowledgeDeliver est largement utilisé dans les secteurs éducatif et entrepreneurial au Japon.
La cause principale de cette vulnérabilité réside dans des pratiques cryptographiques non sécurisées, notamment l’utilisation d’un fichier web.config standardisé avec des valeurs de machineKey codées en dur. Ces clés, identiques pour toutes les installations clients, permettent aux attaquants d’exploiter n’importe quel serveur KnowledgeDeliver accessible depuis Internet une fois qu’ils ont obtenu une clé d’une instance.
Les attaquants exploitent le mécanisme ViewState d’ASP.NET, qui maintient l’état de l’interface utilisateur à travers les postbacks HTTP. Avec une machineKey connue, ils peuvent concevoir des charges utiles ViewState malveillantes, entraînant l’exécution de code arbitraire lors de la désérialisation par le serveur.
Après l’exploitation initiale, les attaquants se concentrent sur le maintien de la persistance et l’expansion de leur impact. Ils déploient BLUEBEAM, un web shell basé sur .NET qui fonctionne au sein du processus de travail IIS, évitant ainsi la détection par les systèmes antivirus et EDR traditionnels. BLUEBEAM communique avec les attaquants via des requêtes HTTP POST chiffrées, facilitant l’exécution furtive de commandes.
De plus, les attaquants utilisent icacls pour accorder des permissions d’accès étendues au répertoire de l’application web et modifient un fichier JavaScript pour afficher une fausse alerte de sécurité. Cette alerte incite les visiteurs à installer un “plugin d’authentification de sécurité”, qui télécharge en réalité une porte dérobée Cobalt Strike BEACON sur leurs systèmes.
Pour détecter une telle exploitation, les défenseurs doivent surveiller certains indicateurs spécifiques, y compris l’ID d’événement d’application Windows 1316 et les processus enfants suspects engendrés par w3wp.exe. Les modifications non autorisées des fichiers .js, .aspx ou .config et les journaux d’accès HTTP anormaux sont également des signes de compromission.
Les organisations sont vivement encouragées à générer des machineKeys uniques et cryptographiquement robustes pour chaque déploiement afin d’atténuer cette vulnérabilité. Restreindre l’accès au LMS à des plages d’adresses IP connues et mener des enquêtes judiciaires approfondies dans les environnements compromis sont des étapes recommandées pour la remédiation.
Cet incident met en lumière les risques systémiques posés par les secrets partagés dans les modèles de fournisseurs, soulignant l’importance de la rotation et de l’unicité des clés machine en tant que mesures de sécurité essentielles dans les plateformes basées sur ASP.NET.
