Angreifer nutzten eine kritische Zero-Day-Schwachstelle in einem Server, auf dem das **KnowledgeDeliver** Learning Management System (LMS) lief, um die **Godzilla** Web Shell einzusetzen. ### Die CVE-2026-5426 Schwachstelle Der Fehler ist ein Deserialisierungsproblem, das als **CVE-2026-5426** verfolgt wird und ohne Authentifizierung ausgenutzt werden kann. Er beruht auf der Verwendung eines gemeinsamen, hartkodierten Maschinenschlüssels in der Webportal-Konfiguration über alle **KnowledgeDeliver**-Kundeninstallationen hinweg. Die Schwachstelle wurde von **Mandiant** offengelegt. ### ViewState-Deserialisierungsangriff Bedrohungsakteure erhielten den Maschinenschlüssel und nutzten ihn in ViewState-Deserialisierungsangriffen, um bösartige ViewState-Payloads zu signieren und Remote Code Execution auf Betriebssystemebene zu erreichen. **Mandiant** reagierte Ende 2025 auf einen Angriff auf einen **KnowledgeDeliver**-Server und stellte fest, dass die Schwachstelle ursprünglich als Zero-Day ausgenutzt wurde, um ein bösartiges Skript in die Webplattform einzuschleusen. Die Ausnutzung war aufgrund der Verwendung von „identischen, vorab geteilten ASP.NET-Maschinenschlüsseln über mehrere Kundeninstallationen hinweg“ möglich, so die Forscher. „**KnowledgeDeliver**-Installationen, die vor dem 24. Februar 2026 bereitgestellt wurden, basierten auf einer standardisierten web.config-Datei, die vom Anbieter bereitgestellt wurde. Diese Konfigurationsdatei enthielt hartkodierte machineKey-Werte, die vom ASP.NET-Framework zum Verschlüsseln und Signieren von Daten, einschließlich ViewState-Payloads, verwendet wurden“, erklärt **Mandiant**. Laut den Forschern „überzeugte der bösartige Code auf der Plattform die Benutzer, einen gefälschten Installer herunterzuladen“, was dazu führte, dass die Maschine mit einem **Cobalt Strike** Beacon infiziert wurde und im Wesentlichen eine Backdoor platziert wurde. „Die Payload wurde mit einem Schlüssel verschlüsselt, der den Namen der kompromittierten Organisation verwendete, was darauf hindeutete, dass der Bedrohungsakteur diese Payload speziell für die Zielorganisation vorbereitet hatte“, heißt es in **Mandiant**s Bericht. ### Auslieferung der Godzilla Web Shell **Mandiant** gibt an, dass der Bedrohungsakteur die .NET-basierte In-Memory-Web-Shell **Godzilla** (auch bekannt als BlueBeam) eingesetzt hat, die auch in ähnlichen Angriffen verwendet wurde, die **Microsoft** Ende 2024 beobachtet hat. Im August 2024 berichteten Forscher von **ASEC** ebenfalls, dass **Godzilla** in ASP.NET-Umgebungen bei ViewState-Deserialisierungsangriffen eingesetzt wurde, die auf Unternehmen im Finanzsektor abzielten. **Mandiant** stellt fest, dass der Bedrohungsakteur, der **KnowledgeDeliver**-Instanzen kompromittierte, Befehle ausführte, um seine Kontrolle über das Dateisystem des Webservers zu eskalieren. Dies ermöglichte es ihnen, eine JavaScript-Datei der Anwendung mit Code zu modifizieren, der Benutzer aufforderte, ein „Sicherheitsauthentifizierungs-Plugin“ zu installieren, und ein bösartiges Skript von einer Domain unter der Kontrolle des Angreifers zu laden. ### Ein Muster von ViewState-Deserialisierungsangriffen Im vergangenen Jahr nutzten Hacker unsachgemäß gesicherte Maschinenschlüssel in ViewState-Deserialisierungsangriffen auf Webplattformen für verschiedene Produkte aus. Im März letzten Jahres missbrauchten Bedrohungsakteure einen hartkodierten Maschinenschlüssel, um eine bösartige Payload zu erstellen, die den Zugriff auf die sicheren Dateifreigabeserver von **Gladinet CentreStack** ermöglichte. Im Juli 2025 kompromittierten Hacker 85 **Microsoft SharePoint**-Server, nachdem sie den Maschinenschlüssel gestohlen hatten, um signierte bösartige ViewState-Payloads zu erstellen. Staatlich unterstützte Akteure nutzten ebenfalls ViewState-Deserialisierungsangriffe, um ein Aufklärungstool namens WeepSteel auf **Sitecore**-Servern einzusetzen, die den ASP.NET-Maschinenschlüssel preisgaben.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)