Vulnerabilidad en KnowledgeDeliver LMS permite la ejecución de Cobalt Strike
Publicado el
Explotación de una vulnerabilidad crítica en KnowledgeDeliver LMS
Una vulnerabilidad de alta gravedad en KnowledgeDeliver, un sistema de gestión de aprendizaje (LMS) popular en Japón, ha sido aprovechada como un zero-day para desplegar el shell web Godzilla y facilitar la implementación de Cobalt Strike Beacon. Esta brecha, conocida como CVE-2026-5426 con un puntaje CVSS de 7.5, se origina en el uso de claves de máquina ASP.NET codificadas de forma estática, lo que permite la ejecución remota de código no autenticada a través de un ataque de deserialización del ViewState.
El abuso de claves de máquina ASP.NET que fueron divulgadas públicamente fue documentado por Microsoft en febrero de 2025. Según el Google Mandiant y el Google Threat Intelligence Group (GTIG), un actor de amenazas desconocido utilizó este acceso para inyectar código malicioso en la plataforma LMS, con el objetivo de infectar a los usuarios que visitaban el sitio.
La vulnerabilidad afectó a las implementaciones de KnowledgeDeliver previas al 24 de febrero de 2026. Es importante señalar que vulnerabilidades similares en Sitecore Experience Manager (XM) y Gladinet CentreStack también han sido explotadas por actores maliciosos. El problema radica en que las instalaciones de KnowledgeDeliver dependían de un archivo web.config estandarizado proporcionado por el fabricante, que contenía valores de machineKey codificados que el marco ASP.NET utiliza para cifrar y firmar datos, incluyendo las cargas útiles del ViewState.
Esto significa que un cibercriminal que logre obtener las claves de una implementación podría comprometer otras instancias de KnowledgeDeliver expuestas a Internet. Google explicó que el ViewState de ASP.NET mantiene el estado de la página entre las solicitudes. Cuando la machineKey es conocida, un atacante puede crear una carga útil de ViewState maliciosa y enviarla en una solicitud HTTP mediante el parámetro `__VIEWSTATE`, lo que permite que el servidor la deserialice.
En las actividades observadas relacionadas con CVE-2026-5426, se ha encontrado que los atacantes desplegaron el shell web Godzilla (también conocido como BLUEBEAM), lo que les otorgó la capacidad de ejecutar comandos o cargar cargas adicionales. Entre los comandos ejecutados se incluyeron instrucciones para escalar su control sobre el sistema de archivos del servidor web, otorgando a "Everyone" acceso completo al directorio de la aplicación web.
Posteriormente, el actor de amenazas manipuló un archivo JavaScript de la aplicación para incluir código que mostraba una alerta de seguridad falsa, instando a los usuarios a instalar un "plugin de autenticación de seguridad". Estas modificaciones no autorizadas permitieron cargar sigilosamente un script malicioso alojado en un dominio controlado por el atacante, que convenció a los usuarios para descargar un instalador falso, infectando finalmente sus máquinas con Cobalt Strike Beacon.
El payload fue cifrado utilizando una clave que llevaba el nombre de la organización comprometida, lo que indica que el actor de amenazas preparó este payload específicamente para la organización objetivo. Google advirtió que la explotación de KnowledgeDeliver resalta los graves riesgos de utilizar secretos compartidos en plantillas de implementación. Una única clave filtrada puede comprometer todo un ecosistema de instalaciones. Para defenderse contra estos ataques de deserialización, se recomienda a las organizaciones implementar secretos únicos y un monitoreo robusto de los puntos finales.