A vulnerabilidade CVE-2026-5426 decorre de chaves machineKey fixas no ASP.NET e foi explorada como dia zero contra implantações do LMS antes da correção.
| Componente | Digital Knowledge KnowledgeDeliver, um LMS baseado em ASP.NET usado em implantações no Japão. |
| Vetor | Requisições HTTP com __VIEWSTATE malicioso quando o invasor conhece as chaves machineKey usadas para assinar e criptografar o estado da página. |
| Impacto | Execução remota de código sem autenticação, implantação do web shell Godzilla e posterior distribuição de Cobalt Strike Beacon por meio de alterações no aplicativo web. |
| Prioridade | Atualizar implantações anteriores a 24 de fevereiro de 2026, substituir segredos compartilhados por valores únicos e verificar alterações não autorizadas em arquivos do aplicativo. |
| Versões | Implantações do KnowledgeDeliver anteriores a 24 de fevereiro de 2026 foram impactadas. |
| Artefatos | web.config, valores machineKey, __VIEWSTATE, web shell Godzilla, arquivo JavaScript adulterado e Cobalt Strike Beacon. |
| Mitigação | Aplicar a correção do fornecedor, regenerar chaves por implantação, revisar permissões no diretório web e investigar acessos ou modificações posteriores à exploração. |
A vulnerabilidade CVE-2026-5426, classificada com CVSS 7.5, afeta o Digital Knowledge KnowledgeDeliver, um sistema de gestão de aprendizagem baseado em ASP.NET. A falha nasce do uso de valores machineKey fixos em arquivos web.config padronizados fornecidos para implantações do produto. Como essas chaves são usadas pelo ASP.NET para proteger dados serializados, inclusive o ViewState, a reutilização entre ambientes cria uma condição em que o comprometimento ou obtenção de uma chave em uma instalação pode ser suficiente para atacar outras instâncias expostas à internet que compartilhem o mesmo segredo.
A exploração observada ocorreu como dia zero antes da correção e permitiu execução remota de código sem autenticação por meio de desserialização de ViewState. O fluxo resultou na instalação do web shell Godzilla, também identificado como BLUEBEAM, e evoluiu para alterações no aplicativo web com objetivo de infectar usuários que acessavam a plataforma. O ataque não se limitou ao controle do servidor: os operadores modificaram um arquivo JavaScript legítimo da aplicação para apresentar um falso alerta de segurança e induzir visitantes a instalar um suposto plug-in de autenticação, que levava à infecção por Cobalt Strike Beacon.
O caso é tecnicamente relevante porque demonstra o risco operacional de segredos compartilhados em modelos de implantação. Em vez de depender de uma senha fraca, conta comprometida ou falha de autenticação convencional, o vetor aproveita um segredo criptográfico embutido e replicado. Quando esse valor é conhecido, o servidor pode aceitar como legítimo um estado de página fabricado pelo atacante, processando conteúdo que não deveria ser confiável. Em ambientes ASP.NET, esse tipo de abuso desloca a defesa para pontos como inventário de chaves, integridade de arquivos, monitoramento de requisições anômalas e revisão de mudanças no diretório da aplicação.
O ViewState é usado pelo ASP.NET para manter o estado de páginas entre requisições. Para impedir adulteração, o framework depende de chaves configuradas em machineKey, que participam da assinatura e da proteção criptográfica dos dados. No KnowledgeDeliver, instalações vulneráveis utilizavam um web.config padronizado com valores fixos. Se o invasor obtém esses valores a partir de uma implantação, consegue preparar um ViewState malicioso que passa nas verificações esperadas pelo servidor. A requisição é então enviada com o parâmetro __VIEWSTATE, levando a aplicação a desserializar o conteúdo controlado pelo atacante.
A condição de exploração descrita é remota e não autenticada, desde que a instância vulnerável esteja acessível e use as chaves conhecidas. Após obter execução de código no servidor, os operadores implantaram o Godzilla, um web shell que fornece capacidade de execução de comandos e de gravação de artefatos adicionais. Em seguida, executaram ações voltadas a ampliar o controle sobre o diretório do aplicativo web, incluindo a concessão de acesso amplo ao grupo Everyone. Essa mudança de permissão é um forte indício operacional porque altera a postura de escrita e modificação de arquivos em uma área crítica da aplicação.
O estágio seguinte envolveu adulteração de um arquivo JavaScript do próprio LMS. A alteração fazia com que usuários que visitavam a plataforma recebessem uma mensagem falsa de segurança solicitando a instalação de um plug-in de autenticação. Ao mesmo tempo, o código modificado carregava de forma discreta um script hospedado em domínio controlado pelo atacante. Esse script conduzia o usuário ao download de um instalador falso, que resultava na implantação do Cobalt Strike Beacon no endpoint. O payload foi criptografado com uma chave derivada do nome da organização comprometida, indicando preparação específica para o alvo observado.
A superfície principal são implantações do KnowledgeDeliver anteriores a 24 de fevereiro de 2026, especialmente instâncias expostas à internet e mantidas com o arquivo web.config padronizado. O risco aumenta quando várias instalações reutilizam os mesmos valores machineKey, porque uma única chave conhecida pode transformar a desserialização de ViewState em um vetor repetível contra outros ambientes configurados da mesma forma. Esse padrão também dificulta a contenção quando a organização trata o problema apenas como incidente isolado em um servidor, sem regenerar segredos e revisar demais instâncias.
Os ativos expostos incluem o servidor web que hospeda o LMS, o diretório da aplicação, arquivos JavaScript servidos aos usuários, sessões de visitantes e endpoints que aceitam postbacks ASP[.]NET. O impacto confirmado no contexto é execução remota de código no servidor, instalação de web shell, alteração de permissões no sistema de arquivos, modificação de conteúdo servido pela aplicação e infecção posterior de usuários com Cobalt Strike Beacon por meio de instalador falso. Não há base no contexto para afirmar exfiltração de dados, movimentação lateral ou comprometimento de credenciais, portanto a resposta deve manter a análise nesses efeitos observados.
Vulnerabilidades semelhantes envolvendo chaves ASP.NET conhecidas ou reutilizadas já foram associadas a ataques contra outros produtos, incluindo Sitecore Experience Manager, Gladinet CentreStack e TrioFox. Essa comparação reforça o padrão técnico do problema: quando segredos de aplicação são distribuídos como valores estáticos, a fronteira de confiança deixa de estar restrita ao ambiente local. A exposição de uma implantação passa a ter efeito sistêmico, porque a mesma chave pode validar payloads em outros servidores que nunca tiveram seus próprios arquivos diretamente acessados pelo atacante.
- KnowledgeDeliver em versões ou implantações anteriores a 24 de fevereiro de 2026.
- Aplicações ASP.NET com
web.configcontendo valoresmachineKeyfixos ou reutilizados. - Servidores LMS expostos à internet e capazes de processar
__VIEWSTATEem requisições HTTP. - Arquivos JavaScript da aplicação usados para entregar conteúdo aos usuários finais.
A investigação deve começar pela correlação entre requisições HTTP contendo __VIEWSTATE e eventos posteriores de criação ou modificação de arquivos no diretório do KnowledgeDeliver. Requisições incomuns para páginas ASP.NET com campos de estado volumosos, padrões fora do perfil normal do aplicativo ou origem não associada ao uso legítimo do LMS merecem análise. Como a falha depende da aceitação de um estado fabricado, a telemetria de servidor web, logs da aplicação e eventos do runtime ASP[.]NET são pontos centrais para reconstruir a primeira execução remota.
No host, a presença do Godzilla deve ser tratada como indicação de controle interativo ou semipersistente do servidor. A defesa deve procurar arquivos novos em diretórios web, alterações recentes em páginas ou componentes da aplicação, permissões excessivas aplicadas ao diretório do LMS e eventos de processo originados pelo contexto do servidor web. A concessão de controle amplo ao grupo Everyone, quando observada em uma árvore de aplicação, é um sinal de gravidade porque amplia a capacidade de gravação e facilita adulterações subsequentes.
Nos endpoints dos usuários, a trilha esperada passa por acesso ao LMS, renderização de JavaScript adulterado, exibição de falso alerta de segurança, contato com domínio controlado pelo atacante e execução de instalador não autorizado. Como o contexto não fornece indicadores específicos de domínio ou hash, a abordagem defensiva deve privilegiar classes de evidência: downloads iniciados a partir de páginas do LMS, processos recém-criados por navegadores logo após a visita, conexões de saída anômalas e sinais compatíveis com Cobalt Strike Beacon. Em rede, inspeções devem buscar carregamento de scripts externos inesperados a partir de páginas que normalmente deveriam servir apenas conteúdo interno ou de domínios autorizados.
- Requisições HTTP com
__VIEWSTATEanormalmente grande ou fora do padrão de uso da aplicação. - Criação de arquivos ou web shells em diretórios do KnowledgeDeliver após requisições ASP.NET suspeitas.
- Alterações em arquivos JavaScript do LMS, especialmente inclusão de carregamento remoto de script.
- Mudanças de permissão no diretório web envolvendo acesso amplo para
Everyone. - Execução de instaladores por usuários após visita ao LMS e atividade compatível com Cobalt Strike Beacon.
A primeira medida é garantir que todas as implantações do KnowledgeDeliver estejam corrigidas para versões posteriores ao marco de 24 de fevereiro de 2026. A correção deve ser acompanhada de regeneração de segredos, porque apenas atualizar binários ou arquivos da aplicação não elimina o risco caso valores machineKey antigos, padronizados ou já conhecidos permaneçam válidos. Cada implantação deve usar chaves únicas, protegidas e inventariadas, evitando qualquer reaproveitamento entre ambientes de produção, homologação ou cópias de cliente.
A resposta também precisa validar a integridade da aplicação. Administradores devem comparar arquivos do LMS com uma referência confiável, revisar o web.config, remover web shells, desfazer permissões excessivas e verificar todos os JavaScripts servidos aos usuários. Qualquer arquivo alterado no período de exposição deve ser tratado como potencialmente malicioso até prova em contrário. Como a cadeia observada buscou infectar visitantes, a contenção deve incluir comunicação interna para usuários afetados, varredura de endpoints que acessaram a plataforma e investigação de instaladores executados após alertas falsos exibidos no portal.
Após a contenção, a organização deve endurecer a monitoração de aplicações ASP.NET que dependem de ViewState. Controles úteis incluem alertas para alterações em web.config, detecção de mudanças de permissão em diretórios web, monitoramento de escrita por processos do servidor, validação de integridade de arquivos estáticos e inspeção de referências externas adicionadas a JavaScript. A exploração mostra que segredos em modelos de implantação devem ser tratados como material sensível desde o provisionamento. Quando esses valores são replicados, a falha deixa de ser apenas uma vulnerabilidade local e passa a representar risco para todo o conjunto de instalações que compartilham a mesma configuração.
- Aplicar a atualização do KnowledgeDeliver e confirmar que nenhuma implantação anterior a 24 de fevereiro de 2026 permanece exposta.
- Regenerar valores
machineKeycom chaves únicas por ambiente e remover segredos padronizados de modelos de implantação. - Revisar
web.config, diretórios da aplicação, permissões e arquivos JavaScript para identificar alterações não autorizadas. - Investigar servidores em busca do Godzilla e endpoints de usuários em busca de atividade compatível com Cobalt Strike Beacon.
- Adicionar monitoramento de integridade para arquivos do LMS, permissões de diretório e carregamento inesperado de scripts externos.
0 Comentários