Een nu gepatcht, zeer ernstig beveiligingslek dat gevolgen had voor Digital Knowledge KnowledgeDeliver, een Learning Management System (LMS) dat populair is in Japan, werd uitgebuit als een zero-day om de Godzilla-webshell te leveren en uiteindelijk de implementatie van Cobalt Strike Beacon te vergemakkelijken.
De kwetsbaarheid, bijgehouden als CVE-2026-5426 (CVSS-score: 7,5), komt voort uit het gebruik van hardgecodeerde ASP.NET-machinesleutels, wat leidt tot niet-geverifieerde uitvoering van externe code via een ViewState-deserialisatieaanval. Het misbruik van openbaar gemaakte ASP.NET-machinesleutels door bedreigingsactoren werd voor het eerst gedocumenteerd door Microsoft in februari 2025.
“Een onbekende bedreigingsacteur heeft deze toegang gebruikt om kwaadaardige code in het LMS-platform te injecteren, met als doel gebruikers die de site bezoeken te infecteren”, aldus Google Mandiant en Google Threat Intelligence Group (GTIG).
Het beveiligingslek had gevolgen voor de implementaties van Digital Knowledge KnowledgeDeliver vóór 24 februari 2026. Het is vermeldenswaard dat soortgelijke kwetsbaarheden in Sitecore Experience Manager (XM) en Gladinet CentreStack en TrioFox ook zijn uitgebuit door bedreigingsactoren.
Het probleem is geworteld in het feit dat KnowledgeDeliver-installaties afhankelijk waren van een gestandaardiseerd web.config-bestand van de leverancier dat hardgecodeerde machineKey-waarden bevatte die door het ASP.NET-framework werden gebruikt om gegevens te coderen en te ondertekenen, inclusief ViewState-payloads.
Als gevolg hiervan kan een bedreigingsacteur die erin slaagt de sleutels van één implementatie te bemachtigen, deze gebruiken om andere op internet gerichte KnowledgeDeliver-instanties in gevaar te brengen.
“De ASP.NET ViewState behoudt de paginastatus tijdens postbacks”, aldus Google. “Als de machineKey bekend is, kan een bedreigingsacteur een kwaadaardige ViewState-payload maken. Door deze payload in een HTTP-verzoek te verzenden (via de parameter __VIEWSTATE), kan de bedreigingsacteur de server deserialiseren.”
Uit de activiteit die is waargenomen in verband met CVE-2026-5426 blijkt dat aanvallers de Godzilla (ook bekend als BLUEBEAM) webshell inzetten, waardoor ze opdrachten kunnen uitvoeren of extra ladingen kunnen droppen.
Onder de uitgevoerde opdrachten bevonden zich instructies om hun controle over het bestandssysteem van de webserver te escaleren door “Iedereen” volledige toegang te verlenen tot de directory van de webapplicatie. Vervolgens knoeide de bedreigingsacteur met een JavaScript-bestand van de applicatie om code op te nemen die een nep-beveiligingswaarschuwing weergaf, waarbij gebruikers werden aangespoord een ‘plug-in voor beveiligingsauthenticatie’ te installeren.
Tegelijkertijd maakten de ongeautoriseerde wijzigingen het mogelijk om heimelijk een kwaadaardig script te laden dat werd gehost op een door de aanvaller gecontroleerd domein. Het script overtuigde gebruikers er op zijn beurt van om een nep-installatieprogramma te downloaden, waardoor de machines uiteindelijk werden geïnfecteerd met Cobalt Strike Beacon.
“De payload werd versleuteld met behulp van een sleutel die de naam van de gecompromitteerde organisatie gebruikte, wat aangaf dat de bedreigingsacteur deze payload specifiek voor de beoogde organisatie had voorbereid”, aldus Google.
“De exploitatie van KnowledgeDeliver benadrukt de ernstige risico’s van het gebruik van gedeelde geheimen in implementatiesjablonen. Eén enkele gelekte sleutel kan een heel ecosysteem van installaties in gevaar brengen. Door unieke geheimen en robuuste eindpuntmonitoring te implementeren, kunnen organisaties zich verdedigen tegen deze deserialisatieaanvallen.”
