Una vulnerabilità ad alta gravità nel sistema di gestione dell’apprendimento KnowledgeDeliver LMS, molto diffuso in Giappone, è stata sfruttata come zero-day per compromettere server esposti su Internet e avviare una catena di infezione che porta al web shell Godzilla e infine a Cobalt Strike Beacon. Il problema di sicurezza è identificato come CVE 2026 5426 con punteggio CVSS 7.5 e riguarda ASP.NET e, in particolare, l’uso di chiavi machineKey hard-coded all’interno della configurazione standard fornita dal vendor.
In un ambiente ASP.NET le machineKey servono a firmare e cifrare dati come il ViewState, che permette alle pagine web di mantenere lo stato tra richieste successive. Quando queste chiavi sono note o riutilizzate su più installazioni, un attaccante può costruire un payload ViewState malevolo e inviarlo tramite parametro __VIEWSTATE in una richiesta HTTP. Il server deserializza il contenuto e, in assenza di controlli adeguati, si arriva a remote code execution senza autenticazione. In pratica basta ottenere le chiavi da una singola installazione per tentare la compromissione di altre istanze KnowledgeDeliver con la stessa configurazione.
Le attività osservate mostrano che gli aggressori hanno prima caricato Godzilla, noto anche come BLUEBEAM, un web shell che consente esecuzione di comandi e rilascio di ulteriori payload. Tra le azioni più critiche compare la modifica dei permessi sul file system del server, aumentando il controllo sulla directory dell’applicazione web e facilitando persistenza e movimentazione laterale. Successivamente è stato alterato un file JavaScript dell’applicazione per visualizzare un falso avviso di sicurezza che spingeva gli utenti a installare un presunto plugin di autenticazione.
Questa tecnica combina compromissione lato server e social engineering lato utente. Il JavaScript modificato caricava in modo silenzioso uno script ospitato su un dominio controllato dagli attaccanti che guidava al download di un installer fasullo. Il risultato finale era l’infezione delle postazioni con Cobalt Strike Beacon, strumento spesso usato per comando e controllo e operazioni post-exploitation. Un dettaglio rilevante è che il payload risultava cifrato con una chiave legata al nome dell’organizzazione compromessa, suggerendo una preparazione mirata.