Security

Celah Keamanan LMS KnowledgeDeliver Dieksploitasi Sebagai Zero-Day untuk Suntik Web Shell “Godzilla”

1 hour ago
3 minutes read

Para peretas dilaporkan telah mengeksploitasi kerentanan kritis berkategori zero-day yang bersarang di dalam sistem manajemen pembelajaran (Learning Management System – LMS) KnowledgeDeliver. Celah ini dimanfaatkan aktor siber untuk menyusupkan skrip berbahaya dan menanamkan in-memory web shell populer bernama Godzilla guna mengambil alih kontrol penuh di level sistem operasi server target.

Kerentanan yang kini dilacak sebagai CVE-2026-5426 ini merupakan masalah deserialisasi data (deserialization issue) fatal yang dapat dieksploitasi oleh penyerang dari luar secara mentah tanpa membutuhkan proses otentikasi apa pun.

Akar Masalah: Kunci Enkripsi “Machine Key” ASP.NET yang Seragam

Berdasarkan laporan investigasi forensik komparatif yang dirilis oleh Mandiant (anak perusahaan Google Cloud), akar dari petaka siber ini bersumber dari kelalaian mendasar pihak vendor dalam menyusun arsitektur keamanan produknya:

  • Berkas Konfigurasi Standar: Seluruh instalasi platform KnowledgeDeliver yang didistribusikan sebelum tanggal 24 Februari 2026 mengandalkan berkas konfigurasi standar web.config yang seragam dari pihak vendor.
  • Nilai Machine Key Keras (Hardcoded): Di dalam berkas web.config tersebut, terdapat nilai parameter machineKey yang dipasang secara permanen (hardcoded) dan identik di seluruh server pelanggan di berbagai belahan dunia.
  • Manipulasi ViewState: Sebagai framework berbasis ASP.NET, platform ini menggunakan nilai machineKey untuk mengenkripsi dan menandatangani secara sah data kiriman halaman web, termasuk muatan ViewState. Begitu penyerang berhasil mengekstrak nilai kunci universal tersebut, mereka dapat meracik dan menandatangani muatan ViewState palsu yang berisi naskah kode destruktif. Proses pembacaan kembali data palsu ini oleh server (ViewState deserialization) secara otomatis memicu eksekusi kode jarak jauh (Remote Code Execution – RCE).

Kronologi Serangan dan Penyebaran Backdoor “Cobalt Strike”

Mandiant melacak aktivitas serangan ini telah dimulai sejak akhir tahun 2025 sebagai operasi senyap zero-day, sebelum akhirnya meluas di tahun 2026 dengan metodologi serangan berlapis:

[Eksploitasi Deserialisasi ViewState via Machine Key]
                       │
                       ▼
[Modifikasi File JavaScript Internal Server Web]
                       │
                       ▼
[Korban Dijebak Unduh "Plugin Keamanan" Palsu]
                       │
                       ▼
[Sistem Terinfeksi Backdoor Cobalt Strike Kustom]
  1. Injeksi Skrip Sampingan: Setelah meraih akses RCE lewat celah deserialisasi, peretas meningkatkan hak akses mereka pada sistem file server web untuk memodifikasi file JavaScript inti aplikasi.
  2. Jebakan Otentikasi Palsu: Modifikasi kode tersebut memicu munculnya jendela sembul (pop-up prompt) manipulatif yang mendesak para pengguna (siswa/pengajar) untuk mengunduh “security authentication plugin” atau penginstal palsu dari domain luar yang dikuasai peretas.
  3. Backdoor Bertarget Spesifik: Jika pengguna terjebak, komputer mereka akan langsung terinfeksi oleh beacon Cobalt Strike. Menariknya, Mandiant menemukan bahwa muatan (payload) berbahaya tersebut telah dikunci menggunakan kunci enkripsi unik yang mengadopsi nama organisasi korban. Hal ini mengindikasikan bahwa penyerang merancang senjata siber tersebut secara spesifik untuk tiap-tiap target organisasi yang berhasil mereka susupi.

Pengiriman Web Shell “Godzilla” Secara In-Memory

Selain menargetkan pengguna akhir, peretas menanamkan komponen web shell berbasis .NET bernama Godzilla (juga dikenal di komunitas intelijen siber dengan nama BlueBeam). Keunggulan dari web shell Godzilla ini adalah sifatnya yang berjalan murni di dalam memori sistem (in-memory execution), membuatnya sangat sulit dideteksi oleh aplikasi antivirus tradisional berbasis pemindaian file statis di dalam harddisk.

Metodologi penyerangan berbasis deserialisasi ViewState untuk menyuntikkan Godzilla ini tercatat bukanlah hal baru, melainkan taktik berulang yang terbukti sangat efektif:

  • Agustus 2024 (Sektor Keuangan): Lembaga keamanan siber ASEC mendeteksi penyebaran masif Godzilla di lingkungan ASP.NET yang membidik institusi finansial global.
  • Akhir 2024: Raksasa teknologi Microsoft mendeteksi aktivitas serupa yang dilancarkan oleh kelompok peretas terorganisir untuk menguasai server korporat.

Tren Global: Bahaya Kolektif Kebocoran “Machine Key”

Eksploitasi terhadap parameter kunci mesin machineKey yang tidak diamankan dengan baik telah menjadi primadona serangan siber hulu dalam setahun terakhir untuk membobol berbagai platform web besar:

Waktu InsidenPlatform yang BerkompromiDampak Eksploitasi Machine Key
Maret 2025Gladinet CentreStackPeretas memalsukan payload untuk menembus server berbagi file aman (secure file-sharing).
Juli 2025Microsoft SharePoint85 server SharePoint sukses dikuasai peretas setelah kunci mesin internalnya dicuri untuk menandatangani ViewState jahat.
Pertengahan 2025Sitecore ServersAktor siber tingkat negara (state-sponsored actors) menggunakan teknik serupa untuk menyuntikkan alat pengintai bernama WeepSteel.
Mei 2026KnowledgeDeliver LMSEksploitasi zero-day universal menggunakan kunci keras bawaan vendor untuk menginjeksi web shell Godzilla.
Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button