Una falla de seguridad de alta gravedad ahora parcheada que afecta a Digital Knowledge KnowledgeDeliver, un sistema de gestión de aprendizaje (LMS) popular en Japón, fue explotada como un día cero para entregar el shell web Godzilla y, en última instancia, facilitar la implementación de Cobalt Strike Beacon.
La vulnerabilidad, rastreada como CVE-2026-5426 (puntuación CVSS: 7,5), surge del uso de claves de máquina ASP.NET codificadas, lo que lleva a la ejecución remota de código no autenticado a través de un ataque de deserialización ViewState. Microsoft documentó por primera vez el abuso de claves de máquina ASP.NET divulgadas públicamente por parte de actores de amenazas en febrero de 2025.
“Un actor de amenazas desconocido aprovechó este acceso para inyectar código malicioso en la plataforma LMS, con el objetivo de infectar a los usuarios que visitan el sitio”, dijeron Google Mandiant y Google Threat Intelligence Group (GTIG).
La falla de seguridad afectó las implementaciones de Digital Knowledge KnowledgeDeliver antes del 24 de febrero de 2026. Vale la pena señalar que vulnerabilidades similares en Sitecore Experience Manager (XM) y Gladinet CentreStack y TrioFox también han sido explotadas por actores de amenazas.
El problema tiene su origen en el hecho de que las instalaciones de KnowledgeDeliver se basaban en un archivo web.config estandarizado proporcionado por el proveedor que contenía valores machineKey codificados utilizados por el marco ASP.NET para cifrar y firmar datos, incluidas las cargas útiles de ViewState.
Como resultado, un actor de amenazas que logre obtener las claves de una implementación podría aprovecharlas para comprometer otras instancias de KnowledgeDeliver conectadas a Internet.
“ASP.NET ViewState persiste el estado de la página a través de las devoluciones de datos”, dijo Google. “Cuando se conoce la clave de la máquina, un actor de amenazas puede crear una carga útil ViewState maliciosa. Al enviar esta carga útil en una solicitud HTTP (a través del parámetro __VIEWSTATE), el actor de amenazas puede hacer que el servidor la deserialice”.
En la actividad observada en relación con CVE-2026-5426, se descubrió que los atacantes implementaban el shell web Godzilla (también conocido como BLUEBEAM), lo que les otorga la capacidad de ejecutar comandos o soltar cargas útiles adicionales.
Entre los comandos ejecutados se encontraban instrucciones para aumentar su control sobre el sistema de archivos del servidor web otorgando a “Todos” acceso completo al directorio de la aplicación web. Posteriormente, el actor de amenazas manipuló un archivo JavaScript de la aplicación para incluir un código que mostraba una alerta de seguridad falsa, instando a los usuarios a instalar un “complemento de autenticación de seguridad”.
Al mismo tiempo, las modificaciones no autorizadas hicieron posible cargar sigilosamente un script malicioso alojado en un dominio controlado por un atacante. El script, a su vez, convenció a los usuarios para que descargaran un instalador falso y finalmente infectó las máquinas con Cobalt Strike Beacon.
“La carga útil se cifró utilizando una clave que utilizaba el nombre de la organización comprometida, lo que indicaba que el actor de la amenaza preparó esta carga útil específicamente para la organización objetivo”, dijo Google.
“La explotación de KnowledgeDeliver pone de relieve los graves riesgos de utilizar secretos compartidos en plantillas de implementación. Una única clave filtrada puede comprometer todo un ecosistema de instalaciones. Al implementar secretos únicos y una sólida supervisión de puntos finales, las organizaciones pueden defenderse contra estos ataques de deserialización”.
