🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers exploraram uma vulnerabilidade crítica de dia zero em um servidor executando o sistema de gerenciamento de aprendizagem KnowledgeDeliver (LMS) para implantar o web shell Godzilla.
A falha é um problema de desserialização rastreado como CVE-2026-5426 e pode ser explorado sem autenticação. Ela decorre do uso de uma chave de máquina codificada compartilhada na configuração do portal da web em todas as implantações de clientes do KnowledgeDeliver.
Desserialização de ViewState
Os agentes da ameaça obtiveram a chave da máquina e a usaram em ataques de desserialização do ViewState para assinar cargas maliciosas do ViewState e obter execução remota de código no nível do sistema operacional.
A Mandiant respondeu no final de 2025 a um ataque a um servidor KnowledgeDeliver e diz que inicialmente a vulnerabilidade foi explorada como um dia zero para injetar um script malicioso na plataforma web.
A exploração foi possível devido ao uso de “chaves de máquina ASP.NET pré-compartilhadas idênticas em implantações de vários clientes”, disseram os pesquisadores.
"As instalações do KnowledgeDeliver implantadas antes de 24 de fevereiro de 2026 dependiam de um arquivo web.config padronizado fornecido pelo fornecedor. Esse arquivo de configuração continha valores machineKey codificados usados pela estrutura ASP.NET para criptografar e assinar dados, incluindo cargas úteis do ViewState", explica Mandiant.
Segundo os pesquisadores, o código malicioso na plataforma “convenceu os usuários a baixar um instalador falso”, o que levou a máquina a ser infectada por um beacon Cobalt Strike, essencialmente plantando um backdoor.
“A carga útil foi criptografada usando uma chave que usava o nome da organização comprometida, o que indicava que o ator da ameaça preparou essa carga especificamente para a organização visada”, disse Mandiant em um relatório hoje.
Entrega de shell da web Godzilla
Mandiant diz que o ator da ameaça implantou o web shell na memória baseado em .NET, Godzilla (também conhecido como BlueBeam), que também foi usado em ataques semelhantes observados pela Microsoft no final de 2024.
Em agosto de 2024, pesquisadores da empresa de segurança cibernética ASEC também relataram que Godzilla estava sendo implantado em ambientes ASP.NET em ataques de desserialização ViewState direcionados a empresas do setor financeiro.
Mandiant observa que o agente da ameaça que comprometeu as instâncias do KnowledgeDeliver executou comandos para aumentar seu controle sobre o sistema de arquivos do servidor web.
Isso permitiu que eles modificassem um arquivo JavaScript de aplicativo com código que levava os usuários a instalar um “plugin de autenticação de segurança” e a carregar um script malicioso de um domínio sob o controle do invasor.
No ano passado, hackers usaram chaves de máquina protegidas indevidamente em ataques de desserialização do ViewState direcionados a plataformas da web para vários produtos.
Em março do ano passado, os agentes de ameaças abusaram de uma chave de máquina codificada para criar uma carga maliciosa que permitia o acesso aos servidores seguros de compartilhamento de arquivos do Gladinet CentreStack.
Em julho de 2025, hackers comprometeram 85 servidores Microsoft SharePoint depois de roubar a chave da máquina para criar cargas maliciosas assinadas do ViewState.
Atores patrocinados pelo Estado também usaram ataques de desserialização ViewState para implantar uma ferramenta de reconhecimento chamada WeepSteel em servidores Sitecore que expuseram a chave da máquina ASP.NET.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
A falha é um problema de desserialização rastreado como CVE-2026-5426 e pode ser explorado sem autenticação. Ela decorre do uso de uma chave de máquina codificada compartilhada na configuração do portal da web em todas as implantações de clientes do KnowledgeDeliver.
Desserialização de ViewState
Os agentes da ameaça obtiveram a chave da máquina e a usaram em ataques de desserialização do ViewState para assinar cargas maliciosas do ViewState e obter execução remota de código no nível do sistema operacional.
A Mandiant respondeu no final de 2025 a um ataque a um servidor KnowledgeDeliver e diz que inicialmente a vulnerabilidade foi explorada como um dia zero para injetar um script malicioso na plataforma web.
A exploração foi possível devido ao uso de “chaves de máquina ASP.NET pré-compartilhadas idênticas em implantações de vários clientes”, disseram os pesquisadores.
"As instalações do KnowledgeDeliver implantadas antes de 24 de fevereiro de 2026 dependiam de um arquivo web.config padronizado fornecido pelo fornecedor. Esse arquivo de configuração continha valores machineKey codificados usados pela estrutura ASP.NET para criptografar e assinar dados, incluindo cargas úteis do ViewState", explica Mandiant.
Segundo os pesquisadores, o código malicioso na plataforma “convenceu os usuários a baixar um instalador falso”, o que levou a máquina a ser infectada por um beacon Cobalt Strike, essencialmente plantando um backdoor.
“A carga útil foi criptografada usando uma chave que usava o nome da organização comprometida, o que indicava que o ator da ameaça preparou essa carga especificamente para a organização visada”, disse Mandiant em um relatório hoje.
Entrega de shell da web Godzilla
Mandiant diz que o ator da ameaça implantou o web shell na memória baseado em .NET, Godzilla (também conhecido como BlueBeam), que também foi usado em ataques semelhantes observados pela Microsoft no final de 2024.
Em agosto de 2024, pesquisadores da empresa de segurança cibernética ASEC também relataram que Godzilla estava sendo implantado em ambientes ASP.NET em ataques de desserialização ViewState direcionados a empresas do setor financeiro.
Mandiant observa que o agente da ameaça que comprometeu as instâncias do KnowledgeDeliver executou comandos para aumentar seu controle sobre o sistema de arquivos do servidor web.
Isso permitiu que eles modificassem um arquivo JavaScript de aplicativo com código que levava os usuários a instalar um “plugin de autenticação de segurança” e a carregar um script malicioso de um domínio sob o controle do invasor.
No ano passado, hackers usaram chaves de máquina protegidas indevidamente em ataques de desserialização do ViewState direcionados a plataformas da web para vários produtos.
Em março do ano passado, os agentes de ameaças abusaram de uma chave de máquina codificada para criar uma carga maliciosa que permitia o acesso aos servidores seguros de compartilhamento de arquivos do Gladinet CentreStack.
Em julho de 2025, hackers comprometeram 85 servidores Microsoft SharePoint depois de roubar a chave da máquina para criar cargas maliciosas assinadas do ViewState.
Atores patrocinados pelo Estado também usaram ataques de desserialização ViewState para implantar uma ferramenta de reconhecimento chamada WeepSteel em servidores Sitecore que expuseram a chave da máquina ASP.NET.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #falha #knowledgedeliver #explorada #como #dia #zero #para #instalar #web #shells
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário