Una falla de seguridad de alta gravedad actualmente parcheada que afecta a Digital Knowledge KnowledgeDeliver, un popular sistema de gestión de aprendizaje (LMS) en Japón, fue explotada como un día cero para entregar el shell web Godzilla y, en última instancia, facilitar la implementación de Cobalt Strike Beacon.
La vulnerabilidad, identificada como CVE-2026-5426 (puntuación CVSS: 7,5), resulta del uso de una clave de máquina ASP.NET codificada, lo que da como resultado la ejecución remota de código no autenticado a través de un ataque de deserialización ViewState. Microsoft documentó por primera vez la explotación por parte de atacantes de claves de máquina ASP.NET disponibles públicamente en febrero de 2025.
«Un atacante desconocido utilizó este acceso para inyectar código malicioso en la plataforma LMS con el objetivo de infectar a los usuarios que visitaron el sitio», dijeron Google Mandiant y Google Threat Intelligence Group (GTIG) en un comunicado.
Esta falla de seguridad afectó las implementaciones de Digital Knowledge KnowledgeDeliver antes del 24 de febrero de 2026. Vale la pena señalar que vulnerabilidades similares en Sitecore Experience Manager (XM), Gladinet CentreStack y TrioFox también fueron explotadas por actores de amenazas.
La raíz de este problema radica en el hecho de que la instalación de KnowledgeDeliver se basa en un archivo web.config estandarizado proporcionado por el proveedor que contiene un valor machineKey codificado que es utilizado por el marco ASP.NET para cifrar y firmar datos, incluida la carga útil ViewState.
Como resultado, un atacante que obtiene una clave de una implementación puede potencialmente hacer un mal uso de esa clave para comprometer otras instancias de KnowledgeDeliver conectadas a Internet.
«ASP.NET ViewState conserva el estado de la página entre devoluciones de datos», dijo Google. «Una vez que se conoce la clave de la máquina, un actor de amenazas puede crear una carga útil ViewState maliciosa. Al enviar esta carga útil en una solicitud HTTP (a través del parámetro __VIEWSTATE), el actor de amenazas puede hacer que el servidor la deserialice».
La actividad observada relacionada con CVE-2026-5426 muestra a los atacantes implementando el shell web Godzilla (también conocido como BLUEBEAM), dándole la capacidad de ejecutar comandos y soltar cargas útiles adicionales.
Entre los comandos ejecutados estaba uno que daba a «todos» acceso completo al directorio de la aplicación web, dándole más control sobre el sistema de archivos del servidor web. Luego, los atacantes modificaron los archivos JavaScript de la aplicación e incluyeron código que mostraba advertencias de seguridad falsas y solicitaba a los usuarios que instalaran un «complemento de autenticación de seguridad».
Paralelamente, la modificación no autorizada permitió cargar subrepticiamente un script malicioso alojado en un dominio controlado por el atacante. Este script engaña a los usuarios para que descarguen un instalador falso y, en última instancia, infecta sus máquinas con Cobalt Strike Beacon.
«La carga útil se cifró utilizando una clave con el nombre de la organización comprometida, lo que indica que el actor de la amenaza preparó esta carga útil específicamente para la organización objetivo», dijo Google.
«El exploit KnowledgeDeliver resalta los serios riesgos de usar secretos compartidos en plantillas de implementación. El compromiso de una sola clave puede comprometer todo el ecosistema de una instalación. Al implementar secretos propietarios y un monitoreo sólido de endpoints, las organizaciones pueden defenderse contra estos ataques de deserialización».
Source link
