### Claves Codificadas Permiten Ejecución Remota de Código La vulnerabilidad, rastreada como **CVE-2026-5426** (puntaje CVSS: 7.5), surge del uso de claves de máquina ASP.NET codificadas dentro de KnowledgeDeliver. Esta falla crítica permitió la ejecución remota de código no autenticada a través de un ataque de deserialización de ViewState. Los peligros de las claves de máquina ASP.NET divulgadas públicamente fueron resaltados previamente por **Microsoft** en febrero de 2025. Según **Google Mandiant** y **Google Threat Intelligence Group (GTIG)**, los atacantes inyectaron código malicioso en la plataforma LMS para infectar a los visitantes del sitio. ### Impacto y Remediación La falla de seguridad afectó implementaciones de KnowledgeDeliver anteriores al 24 de febrero de 2026. Vulnerabilidades similares han sido explotadas previamente en otras plataformas como **Sitecore Experience Manager** (XM) y **Gladinet CentreStack and TrioFox**. ### Análisis Técnico Profundo La causa raíz reside en el archivo `web.config` estandarizado proporcionado por el proveedor, que contiene valores `machineKey` codificados utilizados por el framework ASP.NET para cifrar y firmar datos, incluyendo payloads de ViewState. Esto significó que comprometer una implementación podría potencialmente llevar al compromiso de otras. "El ViewState de ASP.NET persiste el estado de la página entre postbacks", explicó Google. "Cuando se conoce la `machineKey`, un actor de amenaza puede crear un payload de ViewState malicioso. Al enviar este payload en una solicitud HTTP (a través del parámetro `__VIEWSTATE`), el actor de amenaza puede hacer que el servidor lo deserialice." ### Cadena de Ataque: De Web Shell a Cobalt Strike La explotación observada de CVE-2026-5426 implicó el despliegue del web shell **Godzilla** (también conocido como BLUEBEAM). Esto otorgó a los atacantes la capacidad de ejecutar comandos y descargar payloads adicionales. Los atacantes escalaron privilegios en el sistema de archivos del servidor web al otorgar acceso completo a "Todos" al directorio de la aplicación web. Posteriormente, manipularon un archivo JavaScript para mostrar una alerta de seguridad falsa, solicitando a los usuarios que instalaran un "plugin de autenticación de seguridad" falso. Esto permitió la carga sigilosa de un script malicioso desde un dominio controlado por el atacante, llevando finalmente a los usuarios a descargar un instalador falso e infectando sus máquinas con Cobalt Strike Beacon. Google señaló que el payload fue cifrado utilizando una clave que incorporaba el nombre de la organización comprometida, lo que indica un ataque dirigido. ### Lecciones Aprendidas y Estrategias de Mitigación Este incidente subraya los riesgos críticos asociados con el uso de secretos compartidos en plantillas de implementación. Las organizaciones deben implementar secretos únicos y monitoreo robusto de endpoints para defenderse contra ataques de deserialización.