駭客利用運行 KnowledgeDeliver 學習管理系統 (LMS) 的伺服器上的一個嚴重零日漏洞部署了 Godzilla web shell。此漏洞為反序列化問題，編號為CVE-2026-5426，無需身份驗證即可利用。其根源在於所有 KnowledgeDeliver 客戶部署的 Web 入口網站配置中使用了共享的硬程式碼機器金鑰。

威脅行為者取得了機器金鑰，並將其用於 ViewState 反序列化攻擊，以對惡意 ViewState 有效載荷進行簽名，從而在作業系統層級實現遠端程式碼執行。

2025 年末，Mandiant 對 KnowledgeDeliver 伺服器遭受的攻擊做出了回應，並表示最初該漏洞被用作零日漏洞，將惡意腳本注入到 Web 平台中。研究人員表示，之所以能夠利用漏洞，是因為「多個客戶部署中使用了相同的預共享 ASP.NET 機器金鑰」。

去年 3 月，威脅行為者濫用硬編碼的機器金鑰，建構惡意負荷，從而能夠存取 Gladinet CentreStack 的安全文件共享伺服器。2025 年 7 月，駭客竊取了 85 台 Microsoft SharePoint 伺服器的機器金鑰，創建了帶有簽署的惡意 ViewState 有效載荷，從而入侵了這些伺服器。

國家支持的攻擊者還利用 ViewState 反序列化攻擊在 Sitecore 伺服器上部署名為 WeepSteel 的偵察工具，該工具暴露了 ASP.NET 機器金鑰。

資料來源：https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/