La gravedad del CVE-2026-5426 deriva de un fallo de diseño fundamental. El elemento machineKey en el archivo web.config de una aplicación ASP.NET debería ser un secreto criptográfico único y robusto, utilizado para cifrar y validar datos sensibles como el ViewState y los tickets de autenticación. Sin embargo, la empresa Digital Knowledge distribuyó una única machineKey estática—que contenía tanto la validationKey como la decryptionKey—en el archivo de configuración estándar para todos los clientes de KnowledgeDeliver .
Al ser la clave idéntica en todos los despliegues y estar predefinida, se convirtió en un secreto de dominio público. Un atacante que obtuviera esta clave podía falsificar una carga útil maliciosa de ViewState serializado. Al enviar esta carga en una petición POST a cualquier página .aspx, lograba eludir los mecanismos de protección de integridad de ASP.NET. El servidor aceptaba el ViewState falso como legítimo y lo deserializaba, permitiendo al atacante ejecutar código arbitrario en el servidor web IIS subyacente sin necesidad de autenticación alguna . El NVD asignó a este fallo una puntuación CVSS de 7.5 (Alta), reflejando la facilidad de explotación a través de la red por un atacante no autenticado
.
La investigación de Mandiant documentó un ataque sofisticado en múltiples etapas que transformó la plataforma en un arma contra sus propios usuarios .
El atacante inició la intrusión localizando una página de inicio de sesión de KnowledgeDeliver expuesta públicamente y enviando una petición HTTP POST cuidadosamente elaborada. El cuerpo de esta petición contenía un ViewState malicioso falsificado utilizando la clave machineKey predecible. Al ser deserializado, la carga ejecutaba código con los privilegios del proceso de trabajo de IIS (w3wp.exe), otorgando al atacante un punto de apoyo inicial no autenticado en el servidor .
Para mantener el acceso a largo plazo, el atacante desplegó un shell web residente en memoria conocido como Godzilla, al que Mandiant rastrea internamente como BLUEBEAM. Esta herramienta basada en .NET permitía al actor de la amenaza ejecutar comandos, subir archivos y administrar el servidor comprometido sin dejar archivos .aspx maliciosos en el disco, lo que dificultaba enormemente su detección mediante un simple escaneo de archivos .
Con un canal de comando persistente establecido, el atacante usó el shell web para modificar los archivos JavaScript servidos por la plataforma LMS. Inyectaron un script remoto que mostraba una falsa alerta de seguridad o un aviso de actualización a los usuarios finales que visitaban el sitio comprometido. Este componente de ingeniería social fue el punto de inflexión crítico, transformando el compromiso del servidor en una amenaza directa para cada estudiante o empleado que usara el LMS .
El script inyectado redirigía a las víctimas para que descargaran lo que parecía ser un plugin o instalador necesario. En realidad, el archivo descargado era una carga útil de Cobalt Strike Beacon. Este backdoor de amplia capacidad establecía una conexión persistente con la infraestructura de comando y control del atacante, otorgándole acceso remoto completo a la estación de trabajo de la víctima. Mandiant observó que el archivo de la carga útil estaba cifrado usando el nombre de la organización comprometida como clave, lo que sugiere firmemente que los atacantes preparaban cargas a medida para sus objetivos previstos .
Basándose en su análisis, Mandiant esbozó acciones inmediatas y a largo plazo para los equipos de defensa con despliegues de KnowledgeDeliver afectados :
machineKey Única: El paso más crítico es reemplazar de inmediato la machineKey predefinida en el archivo web.config por una clave criptográficamente aleatoria, recién generada y única para su despliegue específico. Esto anula el núcleo de la vulnerabilidad CVE-2026-5426 .aspx, un fuerte indicador de intentos de explotación del ViewState. Utilice herramientas de detección y respuesta en puntos finales (EDR) para analizar el servidor y la red en busca de Indicadores de Compromiso (IOCs) relacionados con el shell web Godzilla o el Cobalt Strike Beacon Este incidente sirve como un duro recordatorio de que las configuraciones de seguridad predeterminadas en el software de terceros son críticas. Un único secreto compartido, integrado en un producto de uso generalizado, puede proporcionar una llave maestra a los atacantes no solo para violar servidores, sino también para convertir una aplicación de confianza en un arma contra toda su base de usuarios.