ช่องโปร่งด้านความปลอดภัยระดับสูงของระบบจัดการการเรียนรู้ (LMS) ชื่อ Digital Knowledge KnowledgeDeliver ซึ่งได้รับความนิยมในประเทศญี่ปุ่น ถูกค้นพบว่าถูกกลุ่มผู้โจมตีนำไปใช้ประโยชน์ในฐานะช่องโปร่งแบบ Zero-day เพื่อติดตั้งมัลแวร์อันตราย โดยช่องโปร่งดังกล่าว (ติดตามด้วยรหัส CVE-2026-5426 และมีคะแนน CVSS 7.5) มีสาเหตุมาจากการใช้ Machine Key ของ ASP.NET ที่ถูกเขียนแบบฟิกซ์ไว้ (Hard-coded) ซึ่งทำให้ผู้โจมตีสามารถสร้างและปลอมแปลงข้อมูลสถานะ (State) ของแอปพลิเคชันได้

การละเมิดครั้งนี้ถูกใช้เป็นเกณฑ์เริ่มต้นในการแทรกซึมเพื่อปล่อย Godzilla Web Shell เข้าไปยังเซิร์ฟเวอร์เป้าหมาย เมื่อ Web Shell นี้ทำงานบนระบบแล้ว จะทำหน้าที่เป็นประตูหลัง (Backdoor) ที่ช่วยให้แฮกเกอร์สามารถควบคุมระบบ เปลี่ยนแปลงไฟล์ หรือสั่งการระยะไกลได้ตามต้องการ และสิ่งที่ตามมาคือการใช้ช่องทางดังกล่าวในการดาวน์โหลดและติดตั้ง Cobalt Strike Beacon ซึ่งเป็นเครื่องมือสำหรับการโพสต์-เอ็กซ์พลอยเทชัน (Post-exploitation) ที่มีความสามารถสูง

ขณะนี้ทางผู้พัฒนาได้ออกแพตช์เพื่อแก้ไขปัญหาดังกล่าวแล้ว แต่เหตุการณ์ครั้งนี้สะท้อนให้เห็นถึงความเสี่ยงร้ายแรงที่เกิดจากการใช้คีย์การเข้ารหัสที่ถูกเขียนแบบฟิกซ์ไว้ในระบบ โดยเฉพาะอย่างยิ่งในซอฟต์แวร์องค์กรที่มีข้อมูลสำคัญ หากองค์กรใดยังไม่ได้ทำการอัปเดตระบบ LMS ดังกล่าว จึงควรรีบประเมินและติดตั้งแพตช์อย่างเร่งด่วนเพื่อป้องกันการถูกเข้าถึงระบบและนำไปสู่การติดตั้งมัลแวร์เพิ่มเติม

คำศัพท์เทคนิคที่น่าสนใจ

• Zero-day – ช่องโปร่งทางความปลอดภัยที่ยังไม่เคยถูกค้นพบหรือยังไม่มีแพตช์ออกมาแก้ไขจากทางผู้พัฒนา
• Web Shell – สคริปต์ที่ถูกแทรกเข้าไปบนเว็บเซิร์ฟเวอร์เพื่อให้ผู้โจมตีสามารถควบคุมหรือสั่งการระบบผ่านเว็บเบราว์เซอร์ได้ระยะไกล
• Cobalt Strike Beacon – ส่วนประกอบหลักของเครื่องมือ Cobalt Strike ที่ทำงานอยู่บนเครื่องเป้าหมายเพื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตี (C2) เพื่อใช้ในการสั่งการและขโมยข้อมูล
• Hard-coded Machine Keys – คีย์การเข้ารหัสที่ถูกเขียนลงในโค้ดของโปรแกรมโดยตรงแบบคงที่ ซึ่งหากถูกดึงออกมาได้ จะทำให้สามารถปลอมแปลงข้อมูล เช่น Cookie หรือ View State ของระบบได้

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/knowledgedeliver-lms-flaw-exploited-to.html