Sicherheitslücke in KnowledgeDeliver LMS ausgenutzt

Eine kürzlich entdeckte Sicherheitsanfälligkeit im KnowledgeDeliver Learning Management System (LMS), das in Japan weit verbreitet ist, wurde als zero-day ausgenutzt. Die Schwachstelle, die als CVE-2026-5426 klassifiziert ist, erhielt einen CVSS-Score von 7.5. Die Ursache liegt in der Verwendung von hartcodierten ASP.NET-Maschinen-Schlüsseln, die es Angreifern ermöglichen, unbefugten Zugriff zu erlangen. Die Sicherheitslücke wurde von Cyberkriminellen genutzt, um die Godzilla Web-Shell zu implementieren. Diese Art von Malware ermöglicht es Angreifern, die Kontrolle über betroffene Systeme zu übernehmen und sie für weitere Angriffe zu nutzen.

Die Entdeckung der Schwachstelle und deren Ausnutzung wurde von mehreren Sicherheitsforschern bestätigt. Nach der Ausnutzung der Schwachstelle wurde auch Cobalt Strike Beacon eingesetzt, ein bekanntes Tool, das häufig für Penetrationstests verwendet wird, aber auch von Angreifern missbraucht werden kann. Cobalt Strike ermöglicht es Hackern, sich in Netzwerke einzuschleusen und Daten zu exfiltrieren oder weitere Malware zu installieren. Die Sicherheitsforscher haben festgestellt, dass die Angriffe in mehreren Wellen stattfanden, wobei die erste Welle bereits kurz nach der Entdeckung der Schwachstelle im April 2026 begann. Die Angreifer zielten vor allem auf Bildungseinrichtungen und Unternehmen ab, die KnowledgeDeliver verwenden.

Entwickler von KnowledgeDeliver haben umgehend ein Update veröffentlicht, um die Schwachstelle zu schließen. Die Aktualisierung wurde am 15. Mai 2026 bereitgestellt und enthält Maßnahmen zur Verbesserung der Sicherheit, einschließlich der Entfernung der hartcodierten Schlüssel. Die Sicherheitslücke hat auch die Aufmerksamkeit von Behörden auf sich gezogen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland hat eine Warnung herausgegeben, die Organisationen dazu auffordert, ihre Systeme umgehend zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

Die Ausnutzung dieser Schwachstelle ist ein Beispiel für die wachsende Bedrohung durch Cyberangriffe auf Bildungseinrichtungen. Laut einer Studie des Cybersecurity and Infrastructure Security Agency (CISA) sind Bildungseinrichtungen in den letzten Jahren zunehmend Ziel von Cyberkriminalität geworden, was die Notwendigkeit von robusten Sicherheitsmaßnahmen unterstreicht. Die Sicherheitsgemeinschaft hat die Vorfälle als alarmierend eingestuft. Experten betonen die Bedeutung von regelmäßigen Sicherheitsüberprüfungen und Updates, um solche Schwachstellen frühzeitig zu erkennen und zu beheben. Die Nutzung von hartcodierten Schlüsseln wird als besonders riskant angesehen und sollte in zukünftigen Entwicklungen vermieden werden.

genaue Anzahl der betroffenen Systeme ist derzeit unbekannt, jedoch wird geschätzt, dass mehrere tausend Organisationen in Japan und darüber hinaus betroffen sein könnten. Die Sicherheitslücke könnte potenziell weitreichende Auswirkungen auf die Datenintegrität und den Datenschutz der betroffenen Institutionen haben. Die Vorfälle rund um die CVE-2026-5426 verdeutlichen die Herausforderungen, vor denen Unternehmen und Bildungseinrichtungen im Bereich der Cybersicherheit stehen. Die Notwendigkeit, Sicherheitsrichtlinien zu aktualisieren und Schulungen für Mitarbeiter durchzuführen, wird als entscheidend angesehen, um zukünftige Angriffe zu verhindern. Die Sicherheitslücke wurde am 28. Mai 2026 von verschiedenen Sicherheitsforschern in sozialen Medien und Fachforen thematisiert, was zu einer breiten Diskussion über die Sicherheit von Lernmanagementsystemen führte.