นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงช่องโหว่ระดับสูงที่พบในระบบจัดการการเรียนรู้ (Learning Management System – LMS) ชื่อ Digital Knowledge KnowledgeDeliver ซึ่งได้รับความนิยมในประเทศญี่ปุ่น โดยช่องโหว่ดังกล่าว (ติดตามด้วยรหัส CVE-2026-5426 และมีคะแนน CVSS 7.5) ถูกกลุ่มผู้โจมตีนำไปใช้ประโยชน์ในฐานะช่องโหว่แบบ Zero-day ก่อนที่จะมีการออกแพตช์มาแก้ไข

สาเหตุหลักของปัญหานี้เกิดจากการที่นักพัฒนาระบบได้ใส่ Hard-coded ASP.NET Machine Keys ไว้ในโค้ดโปรแกรม ทำให้ผู้โจมตีสามารถใช้กุญแจดังกล่าวในการปลอมแปลงข้อมูล (Data Tampering) และสร้างค่าบนคุกกี้ (Cookie) ที่ถูกต้องเพื่อหลีกเลี่ยงขั้นตอนการยืนยันตัวตนของระบบ (Authentication Bypass) ได้อย่างง่ายดาย ภายหลังจากเข้าสู่ระบบได้สำเร็จ พวกเขาจะทำการอัปโหลด Godzilla Web Shell เพื่อควบคุมเซิร์ฟเวอร์

ในท้ายที่สุด การโจมตีครั้งนี้ไม่ได้จบลงเพียงแค่การวาง Web Shell แต่ผู้โจมตีได้ใช้จุดเข้าสู่ระบบนี้เป็นจุดเริ่มต้นในการทยอยปรับใช้ Cobalt Strike Beacon เพื่อสร้างการเชื่อมต่อย้อนกลับ (Reverse Connection) ไปยังเซิร์ฟเวอร์ควบคุมของพวกเขา (Command-and-Control) ซึ่งจะทำให้สามารถขยายวงจรการโจมตีภายในเครือข่ายองค์กรได้มากยิ่งขึ้น

คำศัพท์เทคนิคที่น่าสนใจ

• Zero-day – ช่องโหว่ทางความปลอดภัยที่ถูกค้นพบและถูกใช้โจมตีโดยแฮกเกอร์ก่อนที่ผู้พัฒนาซอฟต์แวร์จะทราบและออกแพตช์มาแก้ไข
• Hard-coded Machine Keys – การเขียนรหัสกุญแจเข้ารหัส (Encryption Keys) ลงไปในซอร์สโค้ดโดยตรง ซึ่งเป็นจุดอ่อนที่ทำให้ใครก็ตามที่อ่านโค้ดสามารถนำกุญแจไปใช้ปลอมแปลงข้อมูลได้
• Web Shell – สคริปต์ที่ฉีดเข้าไปยังเซิร์ฟเวอร์เพื่อให้ผู้โจมตีสามารถควบคุมหรือสั่งการระบบเซิร์ฟเวอร์ผ่านเว็บเบราว์เซอร์ได้
• Cobalt Strike Beacon – เครื่องมือทดสอบการโจมตีแบบ Penetration Testing ที่ถูกนำมาดัดแปลงใช้ในทางที่ผิดโดยกลุ่มแฮกเกอร์ เพื่อสร้างช่องทางการสื่อสารแบบหลับไปยังเซิร์ฟเวอร์ควบคุม (C2) หลังจากบุกรุกเครือข่ายสำเร็จแล้ว

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/knowledgedeliver-lms-flaw-exploited-to.html