La gravité de la CVE-2026-5426 découle d'une défaillance de conception fondamentale. Dans une application ASP.NET, l'élément machineKey du fichier web.config est censé être un secret cryptographique unique et sécurisé, servant à chiffrer et à valider des données sensibles comme le ViewState (l'état de la page) et les tickets d'authentification. Digital Knowledge, l'éditeur du logiciel, a livré une machineKey unique et statique — contenant à la fois la validationKey et la decryptionKey — dans le fichier de configuration standard pour chaque client de KnowledgeDeliver .
Cette clé, identique pour tous et codée en dur, est devenue un secret de Polichinelle. Un attaquant qui l'obtenait pouvait alors forger une charge utile ViewState malveillante. En envoyant cette charge dans une requête POST vers n'importe quelle page .aspx, il contournait les mécanismes d'intégrité d'ASP.NET. Le serveur, croyant avoir affaire à un ViewState légitime, le désérialisait, permettant à l'attaquant d'exécuter du code arbitraire sur le serveur web IIS sous-jacent, sans la moindre authentification . La base de données NVD (National Vulnerability Database) a attribué à cette faille un score CVSS de 7.5 (Élevé), reflétant la facilité d'exploitation via le réseau par un attaquant non authentifié
.
L'enquête de Mandiant a documenté une attaque sophistiquée en plusieurs étapes, retournant la plateforme contre ses propres utilisateurs .
L'attaquant a initié la compromission en localisant une page de connexion KnowledgeDeliver exposée publiquement et en lui envoyant une requête HTTP POST soigneusement conçue. Le corps de cette requête contenait un ViewState malveillant, forgé grâce à la clé machine codée en dur. Lors de la désérialisation, la charge utile a exécuté du code avec les privilèges du processus de travail IIS (w3wp.exe), donnant à l'attaquant un premier accès non authentifié au serveur .
Pour garantir un accès durable, l'attaquant a déployé un shell web en mémoire connue sous le nom de Godzilla, que Mandiant suit en interne sous le nom de BLUEBEAM. Cet outil, basé sur la technologie .NET, a permis à l'acteur malveillant d'exécuter des commandes, de télécharger des fichiers et d'administrer le serveur compromis sans laisser de fichier .aspx malveillant sur le disque. Cette discrétion rend la détection par simple analyse antivirus beaucoup plus difficile .
Disposant désormais d'un canal de commande persistant, l'attaquant a utilisé le shell web pour modifier les fichiers JavaScript servis par la plateforme LMS. Il y a injecté un script distant affichant une fausse alerte de sécurité ou une invite à l'intention des utilisateurs visitant le site compromis. Cette composante d'ingénierie sociale a constitué le pivot critique, transformant la compromission du serveur en une menace directe pour chaque étudiant ou employé utilisant le LMS .
Le script injecté redirigeait les victimes vers le téléchargement de ce qui semblait être un plug-in ou un installeur nécessaire. En réalité, le fichier téléchargé était une charge utile Cobalt Strike Beacon. Ce backdoor extrêmement performant établissait une connexion persistante vers l'infrastructure de commande et contrôle (C2) de l'attaquant, lui conférant un accès complet au poste de travail de la victime. Mandiant a noté un détail glaçant : la charge utile était chiffrée en utilisant le nom de l'organisation compromise comme clé, ce qui suggère fortement que les attaquants préparaient leurs charges sur mesure pour leurs cibles .
Sur la base de leur analyse, Mandiant a détaillé des actions immédiates et à long terme pour les défenseurs dont les déploiements KnowledgeDeliver sont affectés :
machineKey unique : L'étape la plus critique est de remplacer immédiatement la machineKey codée en dur dans le fichier web.config par une nouvelle clé, générée de manière cryptographiquement aléatoire et unique pour votre déploiement. Cela neutralise le cœur de la vulnérabilité CVE-2026-5426 .aspx, un indicateur fort de tentatives d'exploitation de ViewState. Utilisez vos outils de détection et de réponse sur les terminaux (EDR) pour analyser le serveur et le réseau à la recherche d'indicateurs de compromission (IOC) liés au shell web Godzilla ou à Cobalt Strike Beacon w3wp.exe).Cet incident est un rappel brutal que les paramètres de sécurité par défaut des logiciels tiers sont capitaux. Un simple secret partagé, figé dans le code d'un produit largement utilisé, peut devenir un passe-partout pour les attaquants, leur permettant non seulement de pénétrer les serveurs, mais aussi de transformer une application de confiance en arme contre l'ensemble de sa base d'utilisateurs.