CVE-2026-5426

Nome do Software Vulnerável e Versões Afetadas Digital Knowledge KnowledgeDeliver versões anteriores a 24 de fevereiro de 2026

Description Valores de machineKey do ASP.NET/IIS codificados no arquivo web.config padronizado permitem a execução remota de código não autenticada. Atacantes podem usar essas chaves compartilhadas para criar cargas maliciosas e burlar os mecanismos de validação do ViewState por meio de ataques de desserialização, visando especificamente o parâmetro VIEWSTATE em requisições HTTP. O ViewState é um mecanismo usado pelo ASP.NET para preservar o estado da página entre as requisições.

Incidentes reais envolveram a implantação do web shell em memória BLUEBEAM (Godzilla), que opera dentro do processo de trabalho do IIS para evitar a detecção. Atacantes escalaram privilégios e se moveram lateralmente injetando JavaScript malicioso em arquivos da aplicação para enganar usuários e induzi-los a instalar plugins de segurança falsos, que subsequentemente entregavam beacons do Cobalt Strike. Algumas cargas foram especificamente criptografadas usando o nome da organização vítima, indicando ataques direcionados.

Recommendations Para versões anteriores a 24 de fevereiro de 2026, atualize o software para a versão corrigida mais recente. Rotacione as chaves de máquina (machine keys) imediatamente para garantir que cada implantação utilize uma chave única e segura. Restrinja o acesso ao LMS para intervalos de IP conhecidos e confiáveis. Implemente a segmentação de tempo de execução (runtime segmentation) para limitar a possível movimentação lateral na rede.