تتعرض أنظمة إدارة التعلم KnowledgeDeliver لثغرة أمنية خطيرة من نوع “صفر يوم”، حيث يتم استغلالها بنشاط لنشر أداة BLUEBEAM، وهي عبارة عن شل ويب يعمل في الذاكرة. تم تحديد هذه الثغرة تحت الرمز CVE-2026-5426، وتسمح بتنفيذ التعليمات البرمجية عن بُعد دون توثيق، وتؤثر على جميع الأنظمة التي تستخدم إعدادات ASP.NET الافتراضية قبل تاريخ 24 فبراير 2026. تم تطوير نظام KnowledgeDeliver بواسطة شركة Digital Knowledge اليابانية، ويستخدم على نطاق واسع في القطاعات التعليمية والمؤسسية في اليابان.
تعود جذور هذه الثغرة إلى ممارسات التشفير غير الآمنة، وبالتحديد استخدام ملف web.config قياسي يحتوي على قيم machineKey ثابتة. هذه المفاتيح، التي تتطابق في جميع عمليات نشر العملاء، تتيح للمهاجمين استغلال أي خادم KnowledgeDeliver متصل بالإنترنت بمجرد الحصول على مفتاح من إحدى الحالات.
يستغل المهاجمون آلية ViewState في ASP.NET، التي تحافظ على حالة واجهة المستخدم عبر عمليات الإرسال اللاحقة لـ HTTP. مع وجود machineKey معروف، يمكنهم إنشاء حمولات ViewState خبيثة، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية عند فك التسلسل بواسطة الخادم.
بعد الاستغلال، يركز المهاجمون على الحفاظ على استمرار وجودهم وتوسيع تأثيرهم. يقومون بنشر BLUEBEAM، وهو شل ويب يعتمد على .NET ويعمل داخل عملية IIS، مما يجعله غير مرئي لأنظمة مكافحة الفيروسات التقليدية وأنظمة الكشف والاستجابة النهائية. يتواصل BLUEBEAM مع المهاجمين عبر طلبات HTTP POST مشفرة، مما يسهل تنفيذ الأوامر بشكل خفي.
علاوة على ذلك، يستخدم المهاجمون الأمر icacls لمنح أذونات وصول واسعة إلى دليل تطبيق الويب ويقومون بتعديل ملف JavaScript لعرض تنبيه أمني زائف. يحث هذا التنبيه الزوار على تثبيت “إضافة توثيق أمني”، والتي تقوم في الواقع بتنزيل باب خلفي Cobalt Strike BEACON على أنظمتهم.
للكشف عن مثل هذا الاستغلال، ينبغي على المدافعين مراقبة مؤشرات محددة، بما في ذلك معرف حدث تطبيق Windows 1316 والعمليات الفرعية المشبوهة التي تنشأ عن w3wp.exe. التغييرات غير المصرح بها في ملفات .js أو .aspx أو .config وسجلات الوصول HTTP غير الطبيعية تعد أيضًا علامات على الاختراق.
يُنصح المؤسسات بتوليد machineKeys فريدة وقوية من الناحية التشفيرية لكل عملية نشر لتخفيف هذه الثغرة. كما يُوصى بتقييد الوصول إلى أنظمة إدارة التعلم على نطاقات IP المعروفة وإجراء تحقيقات جنائية شاملة في البيئات المخترقة كخطوات للتصحيح.
تسلط هذه الحادثة الضوء على المخاطر النظامية الناجمة عن الأسرار المشتركة في قوالب البائعين، مما يؤكد على أهمية تدوير مفاتيح الأجهزة وتفردها كإجراءات أمنية ضرورية في المنصات القائمة على ASP.NET.
