La vulnerabilidad CVE-2026-5426 (CVSS 7.5) en el sistema de gestión del aprendizaje Digital Knowledge KnowledgeDeliver, ampliamente utilizado en Japón, se explotó como zero-day para desplegar la web shell Godzilla y, posteriormente, entregar Cobalt Strike Beacon a los usuarios finales de la plataforma. La vulnerabilidad está relacionada con claves ASP.NET hardcodeadas en la configuración de la aplicación y permite ejecutar código arbitrario sin autenticación. Se ven afectados todos los despliegues de KnowledgeDeliver anteriores al 24 de febrero de 2026. Las organizaciones que utilizan este LMS deben actualizar el sistema de inmediato y auditar su infraestructura para detectar posibles compromisos.
Esencia técnica de la vulnerabilidad
La raíz del problema reside en una decisión arquitectónica del proveedor: las instalaciones de KnowledgeDeliver se suministraban con un archivo estandarizado web.config, que contenía valores machineKey hardcodeados. Estos claves son utilizadas por el framework ASP.NET para cifrar y firmar datos, incluido el parámetro ViewState, el mecanismo de conservación del estado de la página entre solicitudes HTTP.
Dado que todos los despliegues de KnowledgeDeliver utilizaban las mismas claves, un atacante que obtuviera acceso a las claves desde cualquier única instalación podía comprometer todas las demás instancias del sistema accesibles desde Internet. El ataque se lleva a cabo enviando un payload de ViewState especialmente diseñado en el parámetro __VIEWSTATE de una solicitud HTTP: el servidor lo deserializa y ejecuta el código incrustado.
Tal como señalan Google Mandiant y Google Threat Intelligence Group (GTIG), el abuso de claves ASP.NET divulgadas públicamente se documentó por primera vez por Microsoft en febrero de 2025. Vulnerabilidades similares, relacionadas con claves hardcodeadas y la deserialización de ViewState, se explotaron anteriormente en Sitecore Experience Manager (XM), así como en Gladinet CentreStack y TrioFox.
Cadena de ataque: de la web shell a la infección de usuarios
La campaña observada muestra un enfoque de varios pasos, dirigido no solo al servidor, sino también a los usuarios finales de la plataforma LMS:
Fase 1 — acceso inicial. Un atacante desconocido explotó CVE-2026-5426 para desplegar la web shell Godzilla (también conocida como BLUEBEAM). Esta herramienta proporcionó al atacante la capacidad de ejecutar comandos arbitrarios en el servidor y cargar cargas útiles adicionales.
Fase 2 — escalada de control. A través de la web shell se ejecutaron comandos que otorgaban al grupo “Everyone” acceso completo al directorio de la aplicación web. Esto proporcionó al atacante control ilimitado sobre el sistema de archivos del servidor.
Fase 3 — compromiso del lado del cliente. El atacante modificó un archivo JavaScript de la aplicación, incrustando código que mostraba una falsa alerta de seguridad. A los usuarios se les proponía instalar un “plugin de autenticación de seguridad”. Paralelamente, se cargaba un script malicioso desde un dominio controlado por el atacante.
Fase 4 — entrega de Cobalt Strike. El script convencía a los usuarios para que descargaran un falso instalador, que infectaba sus equipos con un beacon de Cobalt Strike Beacon. Según datos de Google, la carga útil estaba cifrada con una clave que contenía el nombre de la organización comprometida, lo que indica una preparación de la ataque dirigida a una víctima concreta.
Evaluación del impacto y alcance de la amenaza
El peligro fundamental de CVE-2026-5426 radica en el carácter sistémico de la vulnerabilidad: un único conjunto de claves distribuido por el proveedor convierte la brecha de una instalación en una amenaza para todo el ecosistema de despliegues. No se trata de una vulnerabilidad puntual en el código, sino de un defecto arquitectónico en el modelo de distribución.
Están expuestos a mayor riesgo:
- Instituciones educativas y centros de formación corporativos en Japón que utilizan KnowledgeDeliver como plataforma LMS principal
- Usuarios finales de plataformas comprometidas que pudieron descargar el falso “plugin” e infectarse con Cobalt Strike Beacon
- Redes corporativas en las que Cobalt Strike Beacon pudo proporcionar al atacante capacidad de movimiento lateral adicional
Es reseñable que, en el momento de la publicación, CVE-2026-5426 no figura en el catálogo CISA Known Exploited Vulnerabilities, a pesar de su explotación confirmada en ataques reales.
Recomendaciones de respuesta
Para las organizaciones que utilizan KnowledgeDeliver:
- Actualice de inmediato KnowledgeDeliver a una versión publicada después del 24 de febrero de 2026, en la que la vulnerabilidad haya sido corregida
- Sustituya los valores de machineKey en el archivo
web.configpor claves únicas y criptográficamente robustas para cada despliegue. Asegúrese de que las claves no coinciden con los valores estándar suministrados en la plantilla del proveedor - Realice una auditoría del sistema de archivos del servidor web: compruebe la existencia de archivos desconocidos (especialmente archivos ASPX de web shells), cambios en los archivos JavaScript de la aplicación y permisos anómalos sobre los directorios
- Revise los registros para detectar solicitudes POST sospechosas con valores inusuales en el parámetro
__VIEWSTATE - Evalue la posible compromisión de endpoints: si los usuarios de la plataforma LMS pudieron interactuar con la falsa alerta, analice sus estaciones de trabajo para detectar la presencia de Cobalt Strike Beacon
Para los desarrolladores y proveedores de aplicaciones ASP.NET, este incidente es una indicación clara de la necesidad de generar claves criptográficas únicas en cada despliegue. Incluir valores secretos en las plantillas de configuración crea una vulnerabilidad sistémica que puede escalarse a toda la base de clientes del producto.
Las organizaciones que operan KnowledgeDeliver deben considerar cualquier despliegue que mantenga las claves estándar sin cambios como potencialmente comprometido y actuar en consecuencia: actualizar el sistema, sustituir las claves, comprobar la integridad de los archivos de la aplicación y buscar indicadores de presencia de Godzilla y Cobalt Strike en la infraestructura.
