كشفت تقارير أمنية حديثة عن استغلال جهات خبيثة لثغرة أمنية وصفة بالخطيرة في نظام إدارة التعلم الرقمي «KnowledgeDeliver»، الذي يحظى بشعبية واسعة في اليابان. وقد استخدم المهاجمون هذه الثغرة، المعروفة سابقاً كـ «يوم الصفر»، لنشر برمجيات ضارة بهدف الوصول إلى بيانات المستخدمين.
تسمح هذه الثغرة، التي تم تصحيحها مؤخراً، بتنفيذ أوامر عن بعد دون الحاجة إلى مصادقة، وذلك عبر هجمات تستغل خاصية «ViewState» في إطار عمل ASP.NET. ويعتبر هذا النوع من الاستغلال تطوراً مقلقاً في مشهد تهديدات الأمن السيبراني، مما يؤكد الحاجة الملحة لتعزيز الإجراءات الوقائية.
ثغرة «KnowledgeDeliver»: تفاصيل الاستغلال والآثار
تتعلق الثغرة المكتشفة، والتي تحمل المعرف CVE-2026-5426، باستخدام بيانات سرية «ASP.NET machine keys» مدمجة وثابتة في النظام. هذه المفاتيح تستخدم من قبل ASP.NET لتشفير وتوقيع البيانات، بما في ذلك حمولات «ViewState». عندما تتسرب هذه المفاتيح، يمكن للمهاجمين استخدامها للوصول إلى أنظمة أخرى تعتمد على نفس المفاتيح.
وفقاً لتحقيق أجرته فرق من Google Mandiant و Google Threat Intelligence Group (GTIG)، فإن جهات فاعلة مجهولة استغلت هذه الثغرة لإدخال تعليمات برمجية خبيثة في منصة إدارة التعلم. وكان الهدف الرئيسي هو إصابة المستخدمين الذين يزورون الموقع المصاب، مما يمثل تهديداً مباشراً لخصوصية بياناتهم وأمن أنظمتهم.
تؤثر الثغرة على إصدارات نظام «KnowledgeDeliver» التي سبقت تاريخ 24 فبراير 2026. ومن الجدير بالذكر أن ثغرات مماثلة قد تم استغلالها سابقاً في أنظمة أخرى مثل Sitecore Experience Manager (XM) و Gladinet CentreStack و TrioFox، مما يشير إلى أن هذا النوع من الهجمات ليس جديداً تماماً ولكنه يتطور بشكل مستمر.
كيف تمكن المهاجمون من اختراق النظام؟
يكمن سبب المشكلة في أن نسخ «KnowledgeDeliver» كانت تعتمد على ملف الإعدادات «web.config» القياسي الذي توفره الشركة المصنعة. هذا الملف كان يحتوي على قيم «machineKey» ثابتة، والتي كان يستخدمها إطار عمل ASP.NET لتشفير البيانات، بما في ذلك «ViewState» المستخدم لتتبع حالة الصفحات عبر طلبات متعددة.
نتيجة لذلك، يمكن لأي مهاجم يحصل على هذه المفاتيح من نظام واحد أن يستغلها لاختراق أنظمة أخرى تعمل بـ «KnowledgeDeliver» ومتصلة بالإنترنت. هذه الآلية تسمح بانتشار التهديد بسرعة وكفاءة بين الأنظمة الضعيفة.
وعندما تكون المفاتيح معروفة، يمكن للمهاجم صياغة حمولات «ViewState» خبيثة. ومن خلال إرسال هذه الحمولة في طلب HTTP (عبر معلمة __VIEWSTATE)، يمكن للمهاجم خداع الخادم لمعالجة هذه الحمولة بشكل غير آمن.
أدوات الهجوم والخطوات التالية
في النشاط المرصود والمتعلق بالثغرة CVE-2026-5426، اكتشف الباحثون أن المهاجمين قاموا بنشر برمجية «Godzilla» الخبيثة، وهي نوع من «web shell» يمنحهم القدرة على تنفيذ الأوامر أو تحميل برمجيات إضافية. هذا يوفر لهم تحكماً واسعاً في النظام المخترق.
ومن بين الأوامر التي تم تنفيذها، كانت هناك تعليمات لتوسيع سيطرتهم على نظام الملفات الخاص بخادم الويب، وذلك بمنح صلاحيات وصول كاملة لمجلد تطبيق الويب. بعد ذلك، قام المهاجم بالتلاعب بملف JavaScript خاص بالتطبيق لإضافة تعليمات برمجية تعرض رسالة تنبيه أمنية مزيفة، تحث المستخدمين على تثبيت «ملحق مصادقة أمني» وهمي.
بالتوازي مع ذلك، مكّنت التعديلات غير المصرح بها من تحميل سكربت خبيث استضافه المهاجمون على نطاق يتحكمون به. هذا السكربت بدوره أقنع المستخدمين بتنزيل مثبت وهمي، مما أدى في النهاية إلى إصابة أجهزتهم ببرنامج Cobalt Strike Beacon.
وأشار تقرير Google إلى أن الحمولة الخبيثة كانت مشفرة باستخدام مفتاح يحمل اسم المنظمة المستهدفة، مما يدل على أن المهاجم قام بتجهيز هذه الحمولة خصيصاً لتلك المنظمة. وهذا يؤكد أن الهجمات التي تستغل ثغرات «KnowledgeDeliver» قد تكون موجهة ومدروسة.
يُسلط استغلال نظام «KnowledgeDeliver» الضوء على المخاطر الكبيرة المرتبطة باستخدام أسرار مشتركة في قوالب النشر. يمكن لمفتاح واحد مسرّب أن يعرّض للخطر منظومة كاملة من الأنظمة. من خلال تطبيق أسرار فريدة ومراقبة نقاط النهاية بشكل قوي، يمكن للمؤسسات الدفاع ضد هذه الهجمات التي تستغل ضعف معالجة البيانات.