Uma investigação de resposta a incidentes conduzida pelo Mandiant, do Google, no final de 2025, revelou um caso clássico de como uma única brecha de configuração pode se transformar em um ataque de múltiplas etapas. O alvo era o KnowledgeDeliver, um popular Sistema de Gestão de Aprendizagem (LMS) japonês baseado em ASP.NET. A causa raiz foi uma machineKey ASP.NET estática e fixa (hard-coded), enviada de forma idêntica em cada implementação do cliente . Essa falha crítica, rastreada como CVE-2026-5426, deu a atacantes desconhecidos a capacidade de execução remota de código (RCE) sem autenticação em servidores LMS expostos à internet. Eles foram além de apenas controlar o servidor: transformaram uma plataforma educacional confiável em um bebedouro envenenado (
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Mandiant descobriu que uma chave de máquina ASP.NET única e fixa no LMS KnowledgeDeliver permitia que atacantes não autenticados executassem código remotamente através de desserialização do ViewState.
Mandiant descobriu que uma chave de máquina ASP.NET única e fixa no LMS KnowledgeDeliver permitia que atacantes não autenticados executassem código remotamente através de desserialização do ViewState. A cadeia de ataque explorou o CVE 2026 5426 para acesso inicial, usou o web shell Godzilla (BLUEBEAM) para criar persistência na memória e modificou o LMS para exibir um falso instalador que infectava as estações de t...
Organizações que utilizam versões do KnowledgeDeliver anteriores a 24 de fevereiro de 2026 estão em risco e devem aplicar a correção imediatamente.