ช่องโหว่ระยะความรุนแรงสูงในระบบจัดการการเรียนรู้ (LMS) ชื่อ Digital Knowledge KnowledgeDeliver ซึ่งได้รับความนิยมในประเทศญี่ปุ่น ถูกกลุ่มผู้โจมตีนำมาใช้เป็นช่องโหว่แบบ Zero-day โดยไม่รอให้มีการปล่อยแพตช์ โดยช่องโหว่ดังกล่าว (ติดตามด้วยรหัส CVE-2026-5426 และมีคะแนน CVSS 7.5) เกิดจากการใช้ Machine Key ของ ASP.NET แบบ Hard-coded ที่ฝังอยู่ในระบบ

การใช้คีย์ดังกล่าวทำให้ผู้โจมตีสามารถสร้างและปลอมแปลงข้อมูล Authentication ได้ นำไปสู่การละเมิดระบบและอัปโหลดเว็บเชลล์ที่น่ากลัวอย่าง Godzilla ลงบนเซิร์ฟเวอร์เป้าหมาย เพื่อใช้เป็นช่องทางลับ (Backdoor) ในการควบคุมระบบ และต่อมาถูกนำไปใช้ในการดาวน์โหลดและติดตั้งเครื่องมือ Cobalt Strike Beacon ซึ่งเป็นชุดเครื่องมือสำหรับการโพสต์-เอกซ์พลอยต์ (Post-exploitation) ที่มักถูกใช้โดยกลุ่มแรนซัมแวร์และแฮกเกอร์ขั้นสูง

ปัจจุบันทางผู้พัฒนาได้ออกแพตช์สำหรับช่องโหว่นี้ออกมาแล้ว แต่เหตุการณ์ครั้งนี้เป็นอีกหนึ่งตัวอย่างที่เด่นชัดของการใช้ประโยชน์จากจุดอ่อนด้านการพัฒนาซอฟต์แวร์พื้นฐาน เช่น การ Hard-code คีย์การเข้ารหัส มาเชื่อมโยงกับเทคนิคการโจมตีระดับสูงเพื่อเจาะเข้าไปยังโครงสร้างพื้นฐานขององค์กร

คำศัพท์เทคนิคที่น่าสนใจ

• Zero-day – ช่องโหว่ทางคอมพิวเตอร์ที่ยังไม่เคยถูกค้นพบหรือยังไม่มีแพตช์ออกมาแก้ไขจากผู้พัฒนา ทำให้ผู้โจมตีสามารถใช้ประโยชน์ได้ทันที
• Web Shell (Godzilla) – สคริปต์มัลแวร์ที่ถูกอัปโหลดไปยังเว็บเซิร์ฟเวอร์เพื่อให้ผู้โจมตีสามารถรันคำสั่งหรือควบคุมระบบผ่านเว็บเบราว์เซอร์ได้โดยตรง (Godzilla เป็นชื่อของเว็บเชลล์ที่มีความสามารถสูง)
• Cobalt Strike Beacon – ส่วนประกอบหลักของเครื่องมือ Cobalt Strike ที่ทำงานเป็น Agent บนเครื่องเป้าหมาย เพื่อสร้างการเชื่อมต่อย้อนกลับ (Reverse Connection) ให้ผู้โจมตีสามารถสั่งการหรือขโมยข้อมูลได้
• Hard-coded Machine Keys – การฝังคีย์ลับ (Cryptographic Keys) ที่ใช้สำหรับตรวจสอบสิทธิ์หรือเข้ารหัสลงไปในโค้ดตรงๆ ของโปรแกรม ซึ่งเป็นจุดอ่อนร้ายแรงเพราะถ้าคีย์รั่ว ผู้โจมตีจะสามารถปลอมแปลงข้อมูลได้ทุกที่ที่ใช้คีย์ตัวนั้น

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/knowledgedeliver-lms-flaw-exploited-to.html