Uma falha de segurança de alta gravidade, já corrigida, afetou o Digital Knowledge KnowledgeDeliver, um sistema de gestão de aprendizagem (LMS) popular no Japão, e foi explorada como zero-day para distribuir o web shell Godzilla e, em seguida, facilitar a implantação do Cobalt Strike Beacon.
A vulnerabilidade, identificada como
CVE-2026-5426
e com pontuação CVSS de 7,5, decorre do uso de chaves de machineKey do ASP.NET codificadas no código.
Isso permitia execução remota de código sem autenticação por meio de um ataque de desserialização em ViewState.
O abuso de chaves de machineKey do ASP.NET divulgadas publicamente por threat actors foi documentado pela Microsoft pela primeira vez em fevereiro de 2025.
“Um threat actor desconhecido aproveitou esse acesso para injetar código malicioso na plataforma LMS, com o objetivo de infectar usuários que visitassem o site”, informaram a Google Mandiant e o Google Threat Intelligence Group (GTIG).
A falha afetou instalações do Digital Knowledge KnowledgeDeliver anteriores a 24 de fevereiro de 2026.
Vale lembrar que vulnerabilidades semelhantes no Sitecore Experience Manager (XM) e no Gladinet CentreStack e TrioFox também já foram exploradas por threat actors.
O problema está no fato de que as instalações do KnowledgeDeliver dependiam de um arquivo web.config padronizado, fornecido pelo fabricante, que continha valores de machineKey codificados no código.
Essas chaves são usadas pelo framework ASP.NET para criptografar e assinar dados, incluindo payloads de ViewState.
Na prática, um threat actor que conseguisse obter essas chaves em uma instalação poderia usá-las para comprometer outras instâncias do KnowledgeDeliver expostas na internet.
“O ViewState do ASP.NET mantém o estado da página entre envios sucessivos”, explicou a Google.
“Quando a machineKey é conhecida, um threat actor pode criar um payload malicioso de ViewState.
Ao enviar esse payload em uma requisição HTTP, por meio do parâmetro __VIEWSTATE, o threat actor consegue fazer o servidor desserializá-lo.”
Na atividade observada em conexão com a
CVE-2026-5426
, os atacantes foram flagrados implantando o web shell Godzilla, também conhecido como BLUEBEAM, o que lhes deu a capacidade de executar comandos ou carregar payloads adicionais.
Entre os comandos executados estavam instruções para ampliar o controle sobre o sistema de arquivos do servidor web, concedendo ao grupo “Everyone” acesso total ao diretório da aplicação.
Em seguida, o threat actor alterou um arquivo JavaScript da aplicação para inserir código que exibia um falso alerta de segurança e orientava os usuários a instalar um “plugin de autenticação de segurança”.
Ao mesmo tempo, as modificações não autorizadas permitiram carregar discretamente um script malicioso hospedado em um domínio controlado pelo atacante.
Esse script, por sua vez, convenceu os usuários a baixar um instalador falso, infectando as máquinas com o Cobalt Strike Beacon.
“O payload foi criptografado com uma chave que usava o nome da organização comprometida, o que indicava que o threat actor preparou esse payload especificamente para a organização alvo”, disse a Google.
“A exploração do KnowledgeDeliver destaca os graves riscos do uso de segredos compartilhados em modelos de implantação.
Uma única chave vazada pode comprometer todo um ecossistema de instalações.
Ao implementar segredos exclusivos e monitoramento robusto de endpoint, as organizações podem se defender contra esses ataques de desserialização.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...