🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de segurança de alta gravidade, agora corrigida, que afeta o Digital Knowledge KnowledgeDeliver, um sistema de gerenciamento de aprendizagem (LMS) popular no Japão, foi explorada como um dia zero para entregar o web shell Godzilla e, em última análise, facilitar a implantação do Cobalt Strike Beacon.
A vulnerabilidade, rastreada como CVE-2026-5426 (pontuação CVSS: 7,5), decorre do uso de chaves de máquina ASP.NET codificadas, levando à execução remota de código não autenticado por meio de um ataque de desserialização ViewState. O abuso de chaves de máquina ASP.NET divulgadas publicamente por agentes de ameaças foi documentado pela primeira vez pela Microsoft em fevereiro de 2025.
“Um ator de ameaça desconhecido aproveitou esse acesso para injetar código malicioso na plataforma LMS, com o objetivo de infectar os usuários que visitam o site”, disseram o Google Mandiant e o Google Threat Intelligence Group (GTIG).
A falha de segurança impactou as implantações do Digital Knowledge KnowledgeDeliver antes de 24 de fevereiro de 2026. É importante notar que vulnerabilidades semelhantes no Sitecore Experience Manager (XM) e Gladinet CentreStack e TrioFox também foram exploradas por agentes de ameaças.
O problema está enraizado no fato de que as instalações do KnowledgeDeliver dependiam de um arquivo web.config padronizado fornecido pelo fornecedor que continha valores machineKey codificados usados pela estrutura ASP.NET para criptografar e assinar dados, incluindo cargas úteis do ViewState.
Como resultado, um agente de ameaça que consiga obter as chaves de uma implantação pode aproveitá-las para comprometer outras instâncias do KnowledgeDeliver voltadas para a Internet.
“O ASP.NET ViewState persiste no estado da página nos postbacks”, disse o Google. "Quando o machineKey é conhecido, um agente de ameaça pode criar uma carga maliciosa do ViewState. Ao enviar essa carga em uma solicitação HTTP (por meio do parâmetro __VIEWSTATE), o agente de ameaça pode fazer com que o servidor a desserialize."
Na atividade observada em conexão com CVE-2026-5426, descobriu-se que os invasores implantaram o web shell Godzilla (também conhecido como BLUEBEAM), concedendo-lhes a capacidade de executar comandos ou descartar cargas adicionais.
Entre os comandos executados estavam instruções para aumentar seu controle sobre o sistema de arquivos do servidor web, concedendo a “Todos” acesso completo ao diretório do aplicativo web. Posteriormente, o agente da ameaça violou um arquivo JavaScript do aplicativo para incluir um código que exibia um alerta de segurança falso, solicitando aos usuários que instalassem um “plugin de autenticação de segurança”.
Paralelamente, as modificações não autorizadas possibilitaram o carregamento furtivo de um script malicioso hospedado em um domínio controlado pelo invasor. O script, por sua vez, convenceu os usuários a baixar um instalador falso, infectando as máquinas com o Cobalt Strike Beacon.
“A carga útil foi criptografada usando uma chave que usava o nome da organização comprometida, o que indicava que o ator da ameaça preparou essa carga especificamente para a organização visada”, disse o Google.
"A exploração do KnowledgeDeliver destaca os graves riscos do uso de segredos compartilhados em modelos de implantação. Uma única chave vazada pode comprometer todo um ecossistema de instalações. Ao implementar segredos exclusivos e monitoramento robusto de endpoints, as organizações podem se defender contra esses ataques de desserialização."
A vulnerabilidade, rastreada como CVE-2026-5426 (pontuação CVSS: 7,5), decorre do uso de chaves de máquina ASP.NET codificadas, levando à execução remota de código não autenticado por meio de um ataque de desserialização ViewState. O abuso de chaves de máquina ASP.NET divulgadas publicamente por agentes de ameaças foi documentado pela primeira vez pela Microsoft em fevereiro de 2025.
“Um ator de ameaça desconhecido aproveitou esse acesso para injetar código malicioso na plataforma LMS, com o objetivo de infectar os usuários que visitam o site”, disseram o Google Mandiant e o Google Threat Intelligence Group (GTIG).
A falha de segurança impactou as implantações do Digital Knowledge KnowledgeDeliver antes de 24 de fevereiro de 2026. É importante notar que vulnerabilidades semelhantes no Sitecore Experience Manager (XM) e Gladinet CentreStack e TrioFox também foram exploradas por agentes de ameaças.
O problema está enraizado no fato de que as instalações do KnowledgeDeliver dependiam de um arquivo web.config padronizado fornecido pelo fornecedor que continha valores machineKey codificados usados pela estrutura ASP.NET para criptografar e assinar dados, incluindo cargas úteis do ViewState.
Como resultado, um agente de ameaça que consiga obter as chaves de uma implantação pode aproveitá-las para comprometer outras instâncias do KnowledgeDeliver voltadas para a Internet.
“O ASP.NET ViewState persiste no estado da página nos postbacks”, disse o Google. "Quando o machineKey é conhecido, um agente de ameaça pode criar uma carga maliciosa do ViewState. Ao enviar essa carga em uma solicitação HTTP (por meio do parâmetro __VIEWSTATE), o agente de ameaça pode fazer com que o servidor a desserialize."
Na atividade observada em conexão com CVE-2026-5426, descobriu-se que os invasores implantaram o web shell Godzilla (também conhecido como BLUEBEAM), concedendo-lhes a capacidade de executar comandos ou descartar cargas adicionais.
Entre os comandos executados estavam instruções para aumentar seu controle sobre o sistema de arquivos do servidor web, concedendo a “Todos” acesso completo ao diretório do aplicativo web. Posteriormente, o agente da ameaça violou um arquivo JavaScript do aplicativo para incluir um código que exibia um alerta de segurança falso, solicitando aos usuários que instalassem um “plugin de autenticação de segurança”.
Paralelamente, as modificações não autorizadas possibilitaram o carregamento furtivo de um script malicioso hospedado em um domínio controlado pelo invasor. O script, por sua vez, convenceu os usuários a baixar um instalador falso, infectando as máquinas com o Cobalt Strike Beacon.
“A carga útil foi criptografada usando uma chave que usava o nome da organização comprometida, o que indicava que o ator da ameaça preparou essa carga especificamente para a organização visada”, disse o Google.
"A exploração do KnowledgeDeliver destaca os graves riscos do uso de segredos compartilhados em modelos de implantação. Uma única chave vazada pode comprometer todo um ecossistema de instalações. Ao implementar segredos exclusivos e monitoramento robusto de endpoints, as organizações podem se defender contra esses ataques de desserialização."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #do #knowledgedeliver #lms #explorada #para #implantar #godzilla #e #cobalt #strike
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário