Un fallo de día cero en KnowledgeDeliver LMS permite ejecutar código en el servidor sin autenticación con una técnica de ViewState deserialization en ASP.NET. Los atacantes ya lo han aprovechado para instalar la web shell Godzilla (BLUEBEAM) y empujar a usuarios a ejecutar falsos complementos que terminan desplegando Cobalt Strike.
El fallo CVE-2026-5426 ha puesto en alerta a organizaciones que usan Digital Knowledge KnowledgeDeliver LMS, una plataforma de aprendizaje muy extendida en entornos corporativos. La vulnerabilidad permite ejecución remota de código sin autenticación cuando el servicio se expone a Internet, un escenario especialmente delicado en portales orientados a usuarios externos. La actividad detectada no se ha quedado en pruebas: ya ha derivado en intrusiones con web shells y en una cadena que acaba alcanzando equipos de usuarios.
El núcleo del problema está en ASP.NET ViewState, un mecanismo que serializa estado entre peticiones y que se valida con claves criptográficas. En este caso, muchas instalaciones compartían la misma machineKey, incrustada en un web.config de plantilla que se reutilizó entre despliegues. Si un atacante conoce esa clave, puede firmar un payload malicioso en el parámetro __VIEWSTATE y forzar su deserialización en el servidor, abriendo la puerta a ejecutar comandos.
El riesgo afecta sobre todo a despliegues anteriores al 24 de febrero de 2026 que mantengan la machineKey por defecto o precompartida. A partir de ahí, las huellas observadas muestran una operación pensada para mantener acceso y escalar el alcance del incidente. Se han visto inyecciones de JavaScript en la aplicación para mostrar avisos falsos y cargar scripts remotos desde dominios controlados por los atacantes. En paralelo, el servidor comprometido puede alojar una web shell en memoria llamada BLUEBEAM, asociada a Godzilla, que se ejecuta dentro de w3wp.exe, el proceso de IIS.
La intrusión también incluye cambios de permisos con icacls, con casos en los que se otorga a Everyone control total sobre el directorio de la aplicación web, un atajo peligroso para facilitar modificaciones persistentes. La parte más preocupante llega cuando el portal empieza a empujar a los usuarios a instalar un supuesto complemento o instalador de seguridad: esa descarga termina implantando Cobalt Strike Beacon en los endpoints, convirtiendo un problema del servidor en una puerta de entrada a la red interna.
La mitigación pasa por actuar en varios frentes. El primero es cortar la raíz del fallo: generar y configurar una machineKey única, aleatoria y robusta en cada instancia, revisando el web.config para eliminar cualquier clave embebida o reutilizada. Conviene también restringir el acceso al LMS a rangos de IP conocidos o redes corporativas cuando sea viable.
Para cazar posibles compromisos, la telemetría del servidor da pistas claras: revisar el registro de Aplicación de Windows en busca de eventos de ViewState, incluido el Event ID 1316, y vigilar procesos hijos anómalos lanzados por w3wp.exe, como cmd.exe, powershell.exe o ejecuciones puntuales de whoami. A eso se suma el control de integridad sobre el web root, sobre todo ficheros .js, .aspx y .config, y un repaso a los logs HTTP para localizar peticiones con __VIEWSTATE sospechoso o patrones extraños en User-Agent. Si aparecen indicios de BLUEBEAM, cambios de permisos con icacls o señales de Cobalt Strike, la prioridad debe ser contener y erradicar cuanto antes.
El aviso técnico MNDT-2026-0009 clasifica el fallo bajo CWE-502 y CWE-798 y le asigna una puntuación CVSS 3.1 de 8.1, con complejidad alta. En la práctica, la combinación de sistemas expuestos, secretos compartidos y explotación activa convierte este caso en una llamada de atención: en aplicaciones ASP.NET, una mala gestión de claves puede equivaler a dejar la puerta abierta, incluso sin credenciales.
Más información
- BleepingComputer – KnowledgeDeliver flaw exploited as a zero-day to install web shells : https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/
- Google Cloud Blog, Mandiant y Google Threat Intelligence Group – Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability : https://cloud.google.com/blog/topics/threat-intelligence/knowledgedeliver-viewstate-deserialization-vulnerability
- GitHub, Mandiant Vulnerability Disclosures – MNDT-2026-0009 : https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2026/MNDT-2026-0009.md
- Tenable – CVE-2026-5426 : https://www.tenable.com/cve/CVE-2026-5426
La entrada Un zero-day en KnowledgeDeliver LMS abre la puerta a web shells Godzilla y Cobalt Strike se publicó primero en Una Al Día.
